Федеральное бюро расследований (ФБР) выпустило предупреждение о новой волне кибератак с использованием вредоносного ПО HiatusRAT, которое теперь нацелено на уязвимые веб-камеры и цифровые видеорегистраторы (DVR) с прямым доступом через интернет. Эта эволюция вредоносной программы представляет серьезную угрозу для безопасности IoT-устройств в корпоративном и частном секторах.
История и эволюция HiatusRAT
Впервые обнаруженный исследователями Lumen в 2023 году, HiatusRAT изначально специализировался на компрометации устаревших маршрутизаторов DrayTek Vigor. Основной функционал вредоноса включает развертывание дополнительных вредоносных программ и создание SOCKS5 прокси-серверов на зараженных устройствах для управления командно-контрольным трафиком.
Новые цели и методы атак
По данным ФБР, в марте 2024 года операторы HiatusRAT запустили масштабную кампанию по сканированию IoT-устройств в пяти англоязычных странах: США, Австралии, Канаде, Новой Зеландии и Великобритании. Основными мишенями стали устройства китайских производителей Hikvision и Xiongmai, особенно те, что имеют открытый telnet-доступ.
Используемые уязвимости
Злоумышленники эксплуатируют ряд критических уязвимостей, включая CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044 и CVE-2021-36260. Особую опасность представляет CVE-2018-9995, затрагивающая широкий спектр брендов, включая CeNova, Night OWL, QSee и другие устройства, основанные на технологии TBK.
Технические особенности атак
Для проведения атак используются открытые инструменты: Ingram для поиска уязвимостей в веб-камерах и Medusa для подбора паролей. Злоумышленники фокусируются на устройствах с открытыми TCP-портами 23, 26, 554, 2323, 567, 5523, 8080, 9530 и 56575.
Для защиты от атак HiatusRAT специалисты ФБР рекомендуют администраторам принять срочные меры по изоляции уязвимых устройств от основной сети, регулярно обновлять прошивки и использовать сложные пароли. Особое внимание следует уделить сегментации сети и ограничению доступа к IoT-устройствам из интернета, что существенно снизит риск успешной компрометации и последующего бокового перемещения злоумышленников в сети.