ANAHTAR ÖZET NOKTALARI
- HiatusRAT’a ilişkin FBI Uyarısı: FBI, Çin markalı web kameralarını ve DVR’leri hedef alan ve cihaza sızma için uzaktan erişimden yararlanan HiatusRAT kötü amaçlı yazılım kampanyaları hakkında bir Özel Sektör Bildirimi (PIN) uyarısı yayınladı.
- Gelişen Siber Tehdit: 2022’den beri aktif olan HiatusRAT, eski ağ cihazlarından, Tayvanlı kuruluşlardan ve bir ABD hükümeti sunucusundan yararlanmak için kullanılıyor. Son kampanyalar ABD, Kanada, İngiltere, Avustralya ve Yeni Zelanda’daki web kameralarına ve DVR’lara odaklanıyor.
- Güvenlik Açıklarından Yararlanma: Bilgisayar korsanları, Ingram ve Medusa gibi araçları kullanarak Hikvision ve D-Link gibi cihazlardaki yamalanmamış güvenlik açıklarından yararlanarak 23, 554 ve 8080 gibi TCP bağlantı noktalarını hedef alıyor.
- Azaltma Çabaları: FBI, savunmasız cihazların ağlardan yalıtılmasını, çok faktörlü kimlik doğrulamanın uygulanmasını, güçlü parola politikalarının uygulanmasını ve donanım yazılımının ve yazılımın derhal güncellenmesini önerir.
- İşbirlikçi Yanıt: Eski bir federal kritik altyapı yetkilisi olan Sonu Shankar, bu kampanyaların oluşturduğu artan tehdidi ele almak için CISO’larla işbirliği yapıyor.
FBI, Çin markalı web kameralarını ve DVR’leri hedef alan yeni kötü amaçlı yazılım kampanyalarını vurgulamak için bir Özel Sektör Bildirimi (PIN) yayınladı. Bu saldırılar, güvenliği ihlal edilmiş cihazlara uzaktan erişim sağlayan HiatusRAT adı verilen bir uzaktan erişim truva atından (RAT) yararlanır.
HiatusRAT, en azından Temmuz 2022’den bu yana gelişiyor ve siber suçlular, bunu eski ağ cihazlarına, Tayvanlı kuruluşlara ve hatta bir ABD hükümeti sunucusuna sızmak için kullandı. Önceki HiatusRAT kampanyaları, trafiği pasif olarak toplamak ve gizli bir komuta ve kontrol ağı olarak işlev görmek için uç yönlendiricileri hedef alıyordu. Mart 2024’te HiatusRAT aktörleri ABD, Kanada, İngiltere, Avustralya ve Yeni Zelanda’daki web kameralarına ve DVR’lere odaklanan geniş ölçekli bir tarama kampanyası başlattı.
Birçok satıcı CVE-2017-7921 (Hikvision kameralar), CVE-2020-25078 (D-Link cihazları), CVE-2018 gibi kritik güvenlik açıklarını ele almadığından, bilgisayar korsanları Hikvision kameralar ve D-Link cihazları gibi cihazlardaki güvenlik zayıflıklarından yararlanıyor -9995, CVE-2021-33044 ve CVE-2021-36260, diğerleri arasında.
Telnet erişimi olan cihazları, güvenli olmayan uzaktan erişim protokolünü ve hatta kaba kuvvet erişimini hedef alan yamalanmamış kusurlardan yararlanıyorlar. Aktörler, web kamerası tarama araçları Ingram ve Medusa’yı kullanarak telnet erişimi olan Xiongmai ve Hikvision cihazlarını hedef aldı.
“Tarama etkinliğini gerçekleştirmek için Github’da bulunan bir web kamerası tarama aracı olan Ingram’ı kullandılar. Telnet erişimi olan Hikvision kameralarını hedeflemek için açık kaynaklı kaba kuvvet kimlik doğrulama kırma aracı olan Medusa’yı kullandılar.” PIN (PDF) okuyun. Hedeflenen TCP bağlantı noktaları 23, 26, 554, 2323, 567, 5523, 8080, 9530 ve 56575’ti.
FBI, şirketlere PIN’de belirtilen cihazların kullanımını sınırlamalarını ve bunları ağlarından izole etmelerini tavsiye ediyor. Ağları düzenli olarak izlemeli ve güvenlik politikalarını, kullanıcı sözleşmelerini ve yama planlarını gözden geçirmek de dahil olmak üzere en iyi siber güvenlik uygulamalarını kullanmalıdırlar.
Ayrıca şirketler, üretici güncellemeleri mevcut olur olmaz işletim sistemlerini, yazılımları ve aygıt yazılımlarını yamalamalı ve güncellemeli, ağ sistemi ve hesap parolalarını düzenli olarak değiştirmeli, güçlü bir parola politikası uygulamalı ve mümkün olduğunda çok faktörlü kimlik doğrulamayı zorunlu kılmalıdır.
İLGİLİ KONULAR
- FBI: Çinli Hackerlar ABD Telekom Ağlarının Güvenliğini Ele Geçirdi
- Nakit ve Metalleri Hedefleyen Teknik Destek Kurye Dolandırıcılığı, FBI
- FBI Uyarısı: Rus Hackerlar Botnet İçin Ubiquiti Yönlendiricilerini Hedef Alıyor
- FBI: Kimlik Bilgisi Hırsızlığı için Androxgh0st Kötü Amaçlı Yazılım Oluşturan Botnet
- FBI 764 Ağını Hedefliyor: Adam Siber Takipten 30 Yılla Karşı Karşıya