Federal Soruşturma Bürosu (FBI), siber güvenlik profesyonellerini ve sistem yöneticilerini web kameralarını ve dijital video kayıt cihazlarını (DVR’ler) hedef alan yeni bir tehdit konusunda uyaran bir Özel Sektör Bildirimi (PIN) yayınladı.
HiatusRAT olarak bilinen kötü amaçlı yazılım, bu cihazlardaki, özellikle de Çin menşeli olanlardaki güvenlik açıklarını aktif olarak tarıyor.
Bir Uzaktan Erişim Truva Atı (RAT) olan HiatusRAT, Temmuz 2022’den beri faaliyet gösteriyor. Bu gelişmiş kötü amaçlı yazılım, siber suçluların hedeflenen cihazların kontrolünü uzaktan ele geçirmesine olanak tanıyor.
Başlangıçta modası geçmiş ağ uç cihazlarına odaklanan Hiatus kampanyası, kapsamını Tayvan’daki çeşitli kuruluşları ve hatta savunma sözleşmesi teklifleri için kullanılan bir ABD hükümeti sunucusuna karşı keşifleri kapsayacak şekilde genişletti.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
HiatusRAT Web Kameralarına ve DVR’lara Saldırıyor
Mart 2024’te HiatusRAT aktörleri, Amerika Birleşik Devletleri, Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık’ta Nesnelerin İnterneti (IoT) cihazlarını hedef alan yaygın bir tarama kampanyası başlattı.
Saldırganlar, üreticilerin henüz düzeltmediği bazı kritik güvenlik kusurları da dahil olmak üzere, özellikle web kameraları ve DVR’lerdeki güvenlik açıklarını arıyor.
FBI bildirimi, siber suçluların özellikle telnet erişimi olan Xiongmai ve Hikvision cihazlarıyla ilgilendiğini vurguluyor.
Saldırılarında, GitHub’da bulunan bir web kamerası tarama aracı olan Ingram ve açık kaynaklı bir kaba kuvvet kimlik doğrulama kırma aracı olan Medusa dahil olmak üzere çeşitli araçlar kullanıyorlar.
HiatusRAT aktörleri tarafından çeşitli güvenlik açıklarından yararlanılıyor:
- CVE-2017-7921: Çeşitli Hikvision kamera modellerini etkileyen uygunsuz bir kimlik doğrulama güvenlik açığı.
- CVE-2018-9995: Birden fazla DVR markasında bulunan ve uzak saldırganların kimlik doğrulamayı atlamasına olanak tanıyan bir kusur.
- CVE-2020-25078: Belirli D-Link kamera modellerinde, uzaktan yönetici parolasının açığa çıkmasına olanak tanıyan bir güvenlik açığı.
- CVE-2021-33044: Bazı Dahua ürünlerinde kimlik doğrulamayı atlama güvenlik açığı.
- CVE-2021-36260: Bazı Hikvision ürünlerinin web sunucusundaki komut ekleme güvenlik açığı.
FBI, kuruluşların etkilenen cihazların kullanımını sınırlamasını veya bunları ağlarının geri kalanından izole etmesini şiddetle tavsiye ediyor. Ayrıca büro, aşağıdakiler de dahil olmak üzere en iyi siber güvenlik uygulamalarının uygulanmasını tavsiye ediyor:
- İşletim sistemleri, yazılım ve donanım yazılımının düzenli olarak yamalanması ve güncellenmesi
- Ağ sistemi ve hesap şifrelerini sık sık değiştirmek
- Güçlü parola politikalarının ve çok faktörlü kimlik doğrulamanın uygulanması
- Anormal ağ etkinliğini tespit etmek için güvenlik izleme araçlarının uygulanması
- Uzaktan erişim günlüklerini yakalama ve denetleme
- Uygulama beyaz listeye alma politikalarını uygulama
- Yönetici kullanıcı hesaplarının düzenli olarak denetlenmesi
- Kritik varlıklar için çevrimdışı yedeklemeler oluşturma
- Mümkün olduğunda ağ bölümlendirmesinin uygulanması
FBI, kuruluşları, herhangi bir şüpheli risk belirtisini yerel FBI saha ofisine veya İnternet Suçları Şikayet Merkezine bildirmeye teşvik eder.
Siber tehditler gelişmeye devam ederken, dikkatli olmak ve sağlam güvenlik önlemlerini uygulamak, hassas bilgilerin korunması ve ağ altyapısının bütünlüğünün sürdürülmesi açısından hayati önem taşımaya devam ediyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin