Znana z powiązań z rosyjskim rządem grupa hakerska Strontium (vel APT28 lub Fancy Bear) w ostatnim czasie intensywnie atakowała systemy informatyczne zachodnich firm, wykorzystując do tego luki w zabezpieczeniach urządzeń z dziedziny Internetu Rzeczy – alarmują eksperci firmy Microsoft. Na liście celów rosyjskich hakerów były m.in. telefony VoIP, drukarki sieciowe oraz dekodery wideo.
Zdaniem specjalistów z działającego w strukturach firmy Microsoft ośrodka bezpieczeństwa Threat Intelligence Center wynika, że hakerzy wzięli na cel przede wszystkim duże firmy – niewykluczone jednak, że organizacje atakowane w pierwszym etapie aktywności mają jedynie pośredniczyć w ataku na większą i potencjalnie bardziej wartościową infrastrukturę. Chodzić może m.in. o systemy IT jednostek rządowych współpracujących z atakowanymi firmami.
Pierwsze ataki z nowej fali odnotowano w kwietniu tego roku – według Microsoft Threat Intelligence Center to wtedy Rosjanie zaczęli wykorzystywać podczas prób włamania do firmowych systemów luki w popularnym sprzęcie IoT. Z przeprowadzonych analiz wynika, że hakerzy atakowali przede wszystkim telefony VoIP oraz drukarki i dekodery wideo. “Nasze śledztwo wykazało, że napastnik użył tych urządzeń do uzyskania dostępu do firmowej sieci. W dwóch z analizowanych przypadków atak był możliwy, ponieważ w urządzeniach nie zmieniono domyślnych haseł i loginów producenta, w trzecim – ponieważ nie zainstalowano w nich najnowszych poprawek bezpieczeństwa” – wyjaśniają przedstawiciele firmy.
Kolejnym etapem przestępczej operacji było przeskanowanie wewnętrznej sieci firmy pod kątem aktywności sieciowej oraz systemów potencjalne podatnych na dalsze ataki. Te działania były zresztą wielokrotnie powtarzane – na każdym urządzeniu hakerzy instalowali prosty skrypt, który pozwalał im na łatwe ponowne podłączanie się do atakowanego wcześniej stanowiska/urządzenia.
Dotychczas nie ustalono jakie miały być dalsze etapy działania złośliwego oprogramowania wprowadzonego w opisany powyżej sposób do sieci zaatakowanych firm, ponieważ ekspertom firmy Microsoft – w porozumieniu z zaatakowanymi podmiotami – udało się zablokować atak.
Autorzy analizy, jako sprawców ataku zidentyfikowali hakerów powiązanych z grupą powszechnie znaną jako Strontium – która kojarzona jest również z nazwami APT28 lub Fancy Bear. Warto dodać, że zdaniem amerykańskich władz, na ową grupę składają się dwie jednostki rosyjskiego Głównego Zarządu Wywiadowczego GRU. Wcześniej grupa ta zasłynęła innym atakiem na rozwiązania IoT – stworzeniem botnetu bazującego na routerach zainfekowanych złośliwym oprogramowaniem o nazwie VPNFilter, który miał posłużyć do przeprowadzenia ataku DDoS na zorganizowany w Kijowie finał Ligi Mistrzów UEFA.
