Microsoft localiza hackers do governo russo que usavam IoT para invasões
Funcionários da Microsoft divulgaram na segunda-feira (5) que localizaram os hackers que trabalham para o governo russo usando impressoras, decodificadores de vídeo e outros dispositivos relacionados com a Internet das Coisas como meio para invadir redes de computadores específicas.
Os pesquisadores da gigante de Redmond descobriram os ataques em abril, quando um telefone VoIP, uma impressora de escritório e um decodificador de vídeo em vários locais de clientes se comunicavam com servidores pertencentes ao “Strontium”, um grupo de hackers do governo russo conhecido como “Fancy Bear” ou “APT28”.
Em dois casos, as senhas dos dispositivos eram aquelas padrão que poderiam ser adivinhadas com facilidade. No terceiro, o dispositivo estava executando uma versão de firmware antiga com uma vulnerabilidade já conhecida.
Mesmo que esses funcionários já tenham descoberto que o Strontium estava por trás dos ataques, eles disseram que não conseguiam determinar quais eram os objetivos finais do grupo.
“Esses dispositivos se tornaram pontos de ingresso dos quais os invasores estabeleceram uma presença na rede e continuaram procurando mais meios de acessar”, disseram os funcionários do Centro de Inteligência de Ameaças da Microsoft, em comunicado.
“Depois que hacker estabeleceu o acesso à rede com sucesso, uma simples varredura de rede permitiu que ele procurarasse e descobrisse outros dispositivos inseguros e se movessem pela rede em busca de contas com maior privilégio e que concedessem acesso a dados de maior valor”, completaram.
No ano passado, o FBI concluiu que o grupo de hackers estava por trás da infecção de mais de 500 mil roteadores em 54 países. Apelidado de “VPNFilter”, o malware era conhecido como o método de hackeamento do exército suíço.
Os recursos avançados incluíam a capacidade de monitorar, registrar ou modificar o tráfego que passa entre terminais da rede, sites ou sistemas de controle industrial usando o protocolo de comunicação serial Modbus. O FBI, com a ajuda do grupo de segurança Talos, da Cisco, neutralizou o VPNFilter.
O Fancy Bear foi um dos dois grupos patrocinados pela Rússia que atacaram o Comitê Nacional Democrata antes da eleição presidencial de 2016. O Strontium também foi associado a invasões na Agência Mundial Antidoping, em 2016, no Bundestag alemão e na TV francesa France TV, entre muitas outras.
No mês passado, a Microsoft informou que notificou quase 10 mil clientes no ano passado de que estavam sendo alvo de hackers patrocinados pelo governo russo.
O Strontium foi um dos grupos de hackers mencionados pela Microsoft.
A Microsoft notificou os fabricantes dos dispositivos para que eles pudessem considerar a possibilidade de adicionar novas proteções. O relatório desta segunda-feira também forneceu endereços IP e scripts que as organizações podem usar para detectar se também foram alvos ou infectados.
Além disso, o relatório lembrou as pessoas de que, apesar das habilidades de hackers acima da média do Strontium, um dispositivo de IoT geralmente é tudo o que é necessário para obter acesso a uma rede segmentada. Ou seja, outros podem tentar fazer isso.
“Enquanto grande parte da indústria se concentra nas ameaças de implantes de hardware, podemos ver neste exemplo que os adversários estão felizes em explorar questões mais simples de configuração e segurança para alcançar seus objetivos”, observou o relatório. “Esses ataques simples aproveitando o fraco gerenciamento de dispositivos tendem a se expandir à medida que mais dispositivos de IoT são implantados em ambientes corporativos.”