ФБР предупреждает о вредоносном ПО HiatusRAT, нацеленном на веб-камеры и другие устройства IoT

Федеральное бюро расследований США (ФБР) в понедельник выпустило уведомление для частной отрасли (PIN), предупредив организации о новой волне атак вредоносного ПО HiatusRAT на веб-камеры и видеорегистраторы китайского производства.

«HiatusRAT — это троян удаленного доступа (RAT), последняя версия которого, вероятно, используется с июля 2022 года. Злоумышленники обычно используют RAT для захвата и управления целевым устройством на расстоянии», — заявили в компании. ФБР сказало.

«Кампания Hiatus изначально была нацелена на устаревшие периферийные устройства сети. Компании, занимающиеся кибербезопасностью, также наблюдали, как эти субъекты использовали вредоносное ПО для нападения на ряд тайваньских организаций и для проведения разведки против правительственного сервера США, используемого для подачи и получения предложений по оборонным контрактам».

Кампания по сканированию, впервые обнаруженная в марте 2024 года, была нацелена на уязвимые устройства Интернета вещей (IoT), в частности веб-камеры и видеорегистраторы, в таких странах, как США, Австралия, Канада, Новая Зеландия и Великобритания.

По данным ФБР, злоумышленники, стоящие за вредоносным ПО HiatusRAT, сканировали веб-камеры и видеорегистраторы на наличие уязвимостей, включая CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260, наряду со слабыми паролями, предоставляемыми поставщиками. Многие из этих уязвимостей остаются неустраненными поставщиками.

Кроме того, злоумышленники особенно нацеливались на продукты китайских брендов, такие как Hikvision и Xiongmai с доступом через Telnet, которые были устаревшими или не были обновлены.

Для проведения сканирования использовались такие инструменты, как Ingram, сканер уязвимостей веб-камер с открытым исходным кодом, а Medusa, инструмент для взлома аутентификации методом перебора с открытым исходным кодом, использовался для атак на камеры Hikvision с доступом через Telnet.

Сканирование вредоносного ПО было нацелено на веб-камеры и видеорегистраторы с TCP-портами 23, 26, 554, 2323, 567, 5523, 8080, 9530 и 56575, которые были открыты для доступа в Интернет.

После проникновения скомпрометированные системы преобразуются в прокси-серверы SOCKS5, что облегчает скрытую связь с серверами управления и контроля и позволяет дальнейшее развертывание вредоносного ПО.

После успешных атак вредоносного ПО HiatusRAT ФБР настоятельно рекомендует сетевым администраторам ограничить использование устройств, упомянутых в PIN-коде, изолировав и/или заменив уязвимые устройства, чтобы предотвратить нарушения сети и горизонтальное перемещение.

Агентство также призвало системных администраторов и специалистов по кибербезопасности отслеживать признаки компрометации (IOC) и сообщать о любой подозрительной активности в Центр рассмотрения жалоб на интернет-преступления ФБР или в местные отделения на местах.