Федеральное бюро расследований (ФБР) выпустило предупреждение о новой волне кибератак с использованием вредоносного ПО HiatusRAT, которое теперь нацелено на уязвимые веб-камеры и цифровые видеорегистраторы (DVR) с прямым доступом через интернет. Эта эволюция вредоносной программы представляет серьезную угрозу для безопасности IoT-устройств в корпоративном и частном секторах.
История и эволюция HiatusRAT
Впервые обнаруженный исследователями Lumen в 2023 году, HiatusRAT изначально специализировался на компрометации устаревших маршрутизаторов DrayTek Vigor. Основной функционал вредоноса включает развертывание дополнительных вредоносных программ и создание SOCKS5 прокси-серверов на зараженных устройствах для управления командно-контрольным трафиком. Переход к атакам на IoT-камеры и DVR свидетельствует о расширении операционных возможностей группы.
Новые цели и методы атак
По данным ФБР, в марте 2024 года операторы HiatusRAT запустили масштабную кампанию по сканированию IoT-устройств в пяти англоязычных странах: США, Австралии, Канаде, Новой Зеландии и Великобритании. Основными мишенями стали устройства китайских производителей Hikvision и Xiongmai, особенно те, что имеют открытый telnet-доступ.
Используемые уязвимости
Злоумышленники эксплуатируют ряд критических уязвимостей, включая CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044 и CVE-2021-36260. Особую опасность представляет CVE-2018-9995, затрагивающая широкий спектр брендов, включая CeNova, Night OWL, QSee и другие устройства, основанные на технологии TBK.
Кто подвергается наибольшему риску
Угроза HiatusRAT актуальна прежде всего для следующих категорий пользователей и организаций:
- Владельцы IP-камер Hikvision и Xiongmai, подключенных напрямую к интернету без межсетевого экрана
- Малый и средний бизнес с системами видеонаблюдения, использующими стандартные или заводские пароли
- Организации с DVR-устройствами на устаревших прошивках без актуальных патчей безопасности
- Домашние пользователи с камерами, доступными через открытый telnet (порты 23, 2323)
- Компании в сфере производства и логистики, использующие промышленные DVR-системы с выходом в интернет
Технические особенности атак
Для проведения атак используются открытые инструменты: Ingram для поиска уязвимостей в веб-камерах и Medusa для подбора паролей. Злоумышленники фокусируются на устройствах с открытыми TCP-портами 23, 26, 554, 2323, 567, 5523, 8080, 9530 и 56575.
Рекомендованные меры защиты
Специалисты ФБР рекомендуют администраторам принять следующие меры:
- Немедленно изолировать уязвимые устройства от основной сети через отдельный VLAN или DMZ
- Обновить прошивки всех веб-камер и DVR до актуальных версий или вывести из эксплуатации устройства без патчей
- Закрыть telnet-доступ (порты 23, 2323) на файрволле и заменить его на SSH с ключевой аутентификацией
- Сменить все заводские пароли на уникальные сложные комбинации с использованием менеджера паролей
- Провести аудит открытых портов с помощью инструментов типа Shodan или внутреннего сканирования Nmap для выявления экспонированных устройств
Своевременное применение этих мер существенно снижает риск компрометации оборудования и его использования в составе вредоносной ботнет-сети.
