Microsoft: rosyjscy hakerzy używali urządzeń IoT do przeprowadzania ataków
Telefon internetowy VOIP, biurowa drukarka i dekoder wideo posłużyły jako punkty wejścia hakerom, którzy według ekspertów pracują dla rosyjskiego rządu. Centrum bezpieczeństwa Microsoftu, które odkryło luki w powyższych urządzeniach, przypisuje atak hakerom z grupy STRONTIUM znanej też jako Fancy Bear lub APT28 (Advanced Persistent Threat, to określenie odnoszące się do zaawansowanych grup hakerskich pozostających na usługach państw).
Hakerzy z Fancy Bear użyli trzech wspomnianych urządzeń, aby uzyskać wstępne wejście do zamkniętych sieci firm i organizacji. Stamtąd mogli próbować (często z sukcesem) przedostać się głębiej do sieci i uzyskać wyższe uprawnienia.
"Po uzyskaniu dostępu do każdego z urządzeń IoT, hakerzy uruchomili tcpdump w celu wykrycia ruchu na lokalnych podsieciach." - czytamy na stronie Microsoft Security Response Center. - "Przy przejściu na kolejne urządzenia hakerzy zostawiali na nich skrypt w shellu, aby umożliwić rozszerzony dostęp. Analiza ruchu pokazała, że urządzenia komunikowały się z zewnętrznym serwerem command and control".
Zespół Microsoftu odkrył atak w kwietniu. Trzy urządzenia: telefon internetowy VOIP, drukarka i dekoder wideo znajdujące się w różnych lokalizacjach nawiązywały połączenie z serwerami należącymi do STRONTIUM. W dwóch przypadkach hasła urządzeń pozostały niezmienione od momentu dostarczenia przez producenta. W trzecim przypadku urządzenie korzystało z przedawnionej wersji oprogramowania, które miało znaną lukę.
Chociaż Microsoftowi udało się ustalić sprawcę ataku, to nie wiadomo w jakim celu był on przeprowadzony. Grupa Fancy Bear była jedną z dwóch które dokonały ataku na Narodowy Komitet Demokratów w trakcie prezydenckiej kampanii wyborczej w Stanach Zjednoczonych w 2016. Grupie przypisywane też są próby ataku na Światową Agencję Anty Dopingową w 2016, niemiecki Bundsetad oraz francuską telewizję TV5Monde.
