Microsoft: российские хакеры используют IoT-устройства для взлома корпоративных сетей
Опубликовал: FIELD LINE, 8-08-2019, 06:23, Жизнь / В России, 509, 0
Подразделение Microsoft Threat Intelligence Center, занимающееся вопросами кибербезопасности, заявило о том, что одна из российских хакерских группировок, которая предположительно работает на правительство, использует устройства Интернета вещей (IoT) для проникновения в корпоративные сети. В заявлении Microsoft говорится о том, что такие атаки осуществляет группировка Strontium, которая широко известна как APT28 или Fancy Bear.
В сообщении говорится о том, что ещё в апреле сотрудники Microsoft зафиксировали попытки скомпрометировать разные IoT-устройства, в том числе VoIP-телефоны, офисные принтеры и др. Скомпрометированные IoT-устройства использовались в качестве точки входа во внутренние сети атакуемой цели, где проводилось дальнейшее сканирование и поиск уязвимых систем, позволяющих атаковать более значимые объекты.
«В ходе расследования выяснилось, что хакеры использовали IoT-устройства для первоначального доступа к корпоративным сетям. Дважды устройства работали с заводским паролем, а в третьем случае последнее обновление безопасности не было установлено. После получения доступа к устройству хакеры запускали tcpdump для прослушивания сетевого трафика в локальных подсетях», — говорится в заявлении Microsoft. Также отмечается, что хакеры проявляли интерес к административным группам.
Microsoft заявила, что идентификация и блокировка атак была осуществлена на ранних стадиях, поэтому не удалось определить, что именно хакеры пытались украсть из скомпрометированных сетей. Более подробные данные об атаке Strontium корпорация Microsoft планирует раскрыть на конференции по безопасности Black Hat 2019, которая пройдёт в США на этой неделе.
В сообщении говорится о том, что ещё в апреле сотрудники Microsoft зафиксировали попытки скомпрометировать разные IoT-устройства, в том числе VoIP-телефоны, офисные принтеры и др. Скомпрометированные IoT-устройства использовались в качестве точки входа во внутренние сети атакуемой цели, где проводилось дальнейшее сканирование и поиск уязвимых систем, позволяющих атаковать более значимые объекты.
«В ходе расследования выяснилось, что хакеры использовали IoT-устройства для первоначального доступа к корпоративным сетям. Дважды устройства работали с заводским паролем, а в третьем случае последнее обновление безопасности не было установлено. После получения доступа к устройству хакеры запускали tcpdump для прослушивания сетевого трафика в локальных подсетях», — говорится в заявлении Microsoft. Также отмечается, что хакеры проявляли интерес к административным группам.
Microsoft заявила, что идентификация и блокировка атак была осуществлена на ранних стадиях, поэтому не удалось определить, что именно хакеры пытались украсть из скомпрометированных сетей. Более подробные данные об атаке Strontium корпорация Microsoft планирует раскрыть на конференции по безопасности Black Hat 2019, которая пройдёт в США на этой неделе.