FBI bugün, yeni HiatusRAT kötü amaçlı yazılım saldırılarının artık çevrimiçi ortamda açığa çıkan savunmasız web kameralarını ve DVR’leri taradığı ve bu kameralara bulaştığı konusunda uyardı.
Pazartesi günü yayınlanan bir özel sektör bildiriminde (PIN) açıklandığı gibi, saldırganlar saldırılarını hâlâ güvenlik yamalarını bekleyen veya ömrünün sonuna ulaşmış olan Çin markalı cihazlara odaklıyor.
FBI, “Mart 2024’te HiatusRAT aktörleri ABD, Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık’taki Nesnelerin İnterneti (IoT) cihazlarını hedef alan bir tarama kampanyası yürüttü” dedi. “Oyuncular web kameralarını ve DVR’leri CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 ve satıcı tarafından sağlanan zayıf şifreler dahil olmak üzere güvenlik açıkları açısından taradı.”
Tehdit aktörleri, açık kaynaklı bir web kamerası güvenlik açığı tarama aracı olan Ingram’ı ve açık kaynaklı bir kimlik doğrulama kaba kuvvet aracı olan Medusa’yı kullanarak ağırlıklı olarak telnet erişimi olan Hikvision ve Xiongmai cihazlarını hedef alıyor.
Saldırıları, İnternet erişimine açık 23, 26, 554, 2323, 567, 5523, 8080, 9530 ve 56575 TCP bağlantı noktalarına sahip web kameralarını ve DVR’leri hedef aldı.
FBI, başarılı HiatusRAT kötü amaçlı yazılım saldırılarının ardından ihlal ve yanal hareket girişimlerini engellemek için ağ savunucularına bugünkü PIN’de bahsedilen cihazların kullanımını sınırlamalarını ve/veya bunları ağlarının geri kalanından izole etmelerini tavsiye etti. Ayrıca sistem yöneticilerini ve siber güvenlik uzmanlarını, şüpheli risk belirtilerini (IOC) FBI’ın İnternet Suçları Şikayet Merkezi’ne veya yerel FBI saha ofisine göndermeye çağırdı.
Bu kampanya diğer iki saldırı dizisini takip ediyor: Biri aynı zamanda bir keşif saldırısında Savunma Bakanlığı sunucusunu da hedef alıyordu ve Kuzey Amerika, Avrupa ve Güney Amerika’dan yüzden fazla işletmenin DrayTek Vigor VPN yönlendiricilerine sahip olduğu daha önceki bir saldırı dalgasıydı. Gizli bir proxy ağı oluşturmak için HiatusRAT bulaştırıldı.
HiatusRAT’ı ilk tespit eden siber güvenlik şirketi Lumen, bu kötü amaçlı yazılımın esas olarak virüslü cihazlara ek yükler dağıtmak ve ele geçirilen sistemleri komuta ve kontrol sunucusu iletişimi için SOCKS5 proxy’lerine dönüştürmek için kullanıldığını söyledi.
HiatusRAT’ın hedefleme tercihi ve bilgi toplama konusundaki değişimi, Çin’in stratejik çıkarlarıyla uyumludur; bu bağlantı, Ulusal İstihbarat Direktörlüğü Ofisi’nin 2023 yıllık tehdit değerlendirmesinde de vurgulanmıştır.