Aplicativos

APT russo abusa de dispositivos IoT para se infiltrar em alvos corporativos

Um grupo de hackers apoiado pela Rússia foi observado pelos pesquisadores de segurança da Microsoft, ao mesmo tempo em que comprometia dispositivos populares de IoT para se firmar em várias redes corporativas.

Os ataques detectados por pesquisadores do Microsoft Threat Intelligence Center foram atribuídos ao grupo STRONTIUM (também conhecido como Fancy Bear ou APT28), anteriormente conectado a uma grande quantidade de campanhas de espionagem dirigidas a governos de todo o mundo, incluindo o Comitê Nacional Democrata. à frente da eleição presidencial de 2016 dos EUA.

“Em abril, pesquisadores de segurança do Microsoft Threat Intelligence Center descobriram a infraestrutura de um adversário conhecido se comunicando com vários dispositivos externos”, diz o relatório da Microsoft.

“Mais pesquisas descobriram tentativas do ator de comprometer dispositivos IoT populares (um telefone VOIP, uma impressora de escritório e um decodificador de vídeo) em vários locais de clientes”.

Dispositivos IoT usados ​​como pontos de entrada

Os agentes de ameaças aproveitaram esses dispositivos comprometidos para se infiltrarem nas redes corporativas que estavam atacando e, em duas das instâncias analisadas pela equipe de pesquisa da Microsoft, as “senhas dos dispositivos foram implantadas sem alterar as senhas do fabricante padrão e, na terceira instância, as últimas a atualização de segurança não foi aplicada ao dispositivo. “

Depois de hackear com sucesso os dispositivos IoT corporativos, os invasores os usariam para comprometer outras máquinas vulneráveis ​​dentro da rede com varreduras simples, possibilitando que eles se movimentassem pela rede, obtendo acesso a “contas com mais privilégios que concederiam acesso a dados de valor “.

Os hackers usaram o  analisador de pacotes tcpdump para farejar o tráfego de rede na rede local para encontrar informações adicionais sobre seus próximos alvos e enumerar grupos administrativos para maior exploração da rede.

Um shell script também foi descartado em cada um dos dispositivos que foram comprometidos nos ataques, permitindo que os agentes STRONTIUM tenham um fluxo de informações sendo entregue aos seus servidores de comando e controle (C2) e para manter a persistência dentro da rede e fornecer a eles acesso prolongado para manter sua “caça” ativa.

Script de persistência de rede
Script de persistência de rede

Fim do gol de ataques ainda não conhecidos

Embora os ataques tenham sido atribuídos ao grupo de ciberespionagem STRONTIUM, os pesquisadores da Microsoft não conseguiram determinar o objetivo final dessas intrusões corporativas, pois foram detectados nos estágios iniciais.

“Nos últimos doze meses, a Microsoft entregou quase 1400 notificações de estado-nação para aqueles que foram alvo ou comprometidos pela STRONTIUM”, acrescenta a Microsoft. “Uma em cada cinco notificações da atividade da STRONTIUM estava ligada a ataques contra organizações não-governamentais, think tanks ou organizações politicamente afiliadas em todo o mundo”.

O restante de 80% das notificações da STRONTIUM fornecidas pela Microsoft a seus clientes tiveram como alvo uma ampla gama de órgãos governamentais, de TI, militares, de defesa, de medicina, de organização olímpica, antidoping, hospitalidade, educação e engenharia. No mundo todo.

A importância deste relatório é ainda mais evidente, considerando que, como explicado pela Microsoft, “o número de dispositivos IoT implantados supera a população de computadores pessoais e celulares, combinados”.

A Microsoft informou em 18 de julho que alertou cerca de 10 mil de seus clientes no ano passado de serem atingidos ou comprometidos por vários grupos de hackers patrocinados pelo Estado.

Esses números mostram a dependência dos Estados-nação em ataques cibernéticos como meio de coletar e extrair inteligência, bem como influenciar a geopolítica ou alcançar vários outros objetivos.

O Microsoft Threat Intelligence Center fornece uma série de indicadores de comprometimento (IOCs) conforme detectado ao observar e analisar a atividade STRONTIUM apresentada, incluindo os endereços IP C2 e o script completo usado para manter a persistência nas redes corporativas de seus destinos.

Esta é apenas uma das várias campanhas que o Eric Doerr da Microsoft exibirá em 8 de agosto, como parte de sua  palestra The Enemy Within: Modern Supply Chain Attacks na conferência de segurança em computadores Black Hat deste ano.

Fonte

Mais Lidas

To Top