Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
Kötü Amaçlı Yazılım Dünya Çapındaki Savunmasız Web Kameralarını ve DVR’leri Hedefliyor
Anviksha Daha Fazla (AnvikshaDevamı) •
17 Aralık 2024
FBI, bilgisayar korsanlarının Çin yapımı web kameralarını ve DVR’leri hedef almak için kaba kuvvet saldırıları uyguladığını ve yamalanmamış güvenlik açıklarını kullandığını uyarıyor. Hedefler arasında Tayvan’daki çeşitli kuruluşlar ve en az bir ABD hükümet sunucusu yer alıyor.
Ayrıca bakınız: Kurumsal IoT’nin Güvenliğini Sağlama: Gelişmiş Tehditler ve Yanıt Verme Stratejileri
Büro Pazartesi günü yaptığı açıklamada, kampanyanın Hikvision ve Xiongmai cihazlarına virüs bulaştırmak için HiatusRAT’ı kullandığını söyledi. Kampanya aynı zamanda Dahua ve Tayvanlı şirket D-Link tarafından üretilen Wi-Fi kameralar da dahil olmak üzere diğer nesnelerin interneti cihazlarını da kapsıyor.
Hikvision, Çin hükümeti tarafından kontrol ediliyor ve ulusal güvenlik riski oluşturması ve Uygur etnik grubuna yönelik devlet baskısına katılması nedeniyle ABD federal hükümetinin bazı kara listelerinde yer alıyor.
Bilgisayar korsanları (FBI herhangi bir atıfta bulunmuyor), cihazlara erişmek için telnet kullanıyor ve cihazları taramak için açık kaynaklı web kamerası tarama aracı Ingram’ı kullanıyor. Hikvision cihazlarına sızmak için açık kaynaklı bir kaba kuvvet kimlik doğrulama kırma aracı olan Medua’yı kullanıyorlar.
Hikvision ve Xiongmai tarafından üretilen cihazlar bilgisayar korsanlarının daimi favorileridir. 2016 yılında Mirai botnet tarafından gerçekleştirilen ve Amerika Birleşik Devletleri’ndeki alan adı sisteminin büyük bir bölümünü çökerten dağıtılmış hizmet reddi saldırısı, en azından kısmen saldırıya uğramış Xiongmai cihazları tarafından destekleniyordu. 2021’de araştırmacılar, Hikvision kameralarındaki uzaktan kod yürütme güvenlik açığını hedef alan Mirai varyantı Moobot’u tespit etti.
Bilgisayar korsanlarının favorileri olarak tekrarlanmaları birçok nedene dayanıyor. Yamaların mevcut olması, cihaz sahiplerinin bunları uygulayacağının garantisi değildir. Yetkisiz satıcılar aracılığıyla satılan cihazlar yama bile alamayabilir.
Bu HiatusRAT kampanyasında hedeflenen bazı cihazlarda, bilinen güvenlik açıklarına karşı yamalar bile bulunmayabilir veya artık bir üretici tarafından desteklenmediklerinden yama alamayabilirler.
FBI’ın Mart ayındaki analizi, tehdit aktörlerinin interneti web kameraları ve DVR’ler için aktif olarak taradığını, CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğunda listelenen kusurlar gibi güvenlik açıklarını hedeflediğini ve satıcı tarafından sağlanan zayıf kimlik bilgilerinden yararlandığını gösteriyor. Bilgisayar korsanları, CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044 ve CVE-2021-36260 gibi kusurlara odaklandı. FBI’a göre CVE-2018-9995, CeNova, DVR Login, HVR Login, MDVR Login, Night OWL, Novo, Pulnix, QSee, Securus ve XVR 5 in 1 dahil olmak üzere TBK cihazlarının çeşitli yeniden markalanmış versiyonlarını etkiliyor.