Webkamerákat támad a HiatusRAT trójai

​Már az FBI is figyelemfelhívó közleményt adott ki a HiatusRAT kártékony program egyre intenzívebb terjedése miatt.
 

A HiatusRAT trójai márciusban azzal hívta fel magára a figyelmet, hogy a terjesztői széles körű hálózatszkennelést végeztek az interneten annak érdekében, hogy különféle sebezhető eszközöket térképezzenek fel későbbi károkozásokhoz. Elsősorban az Egyesült Államokban, Ausztráliában, Kanadában és az Egyesült Királyságban kutakodtak sérülékeny készülékek után. Ezt követően viszonylag kevesebbet lehetett hallani a károkozóról, de ez sajnos nem jelentette azt, hogy az felhagyott volna a károkozásokkal. Éppen ellenkezőleg!
 
Az FBI arra figyelmeztetett, hogy a HiatusRAT egyre aktívabb, és mind több hálózatos eszközt von be a támadásaiba. Jelenleg elsősorban internet felől elérhető webkamerák és DVR-ek (digitális videófelvevők) ostromlására törekszik. Különösen kiszolgáltatottak a különféle kínai márkák, illetve azok a berendezések, amelyek ismert biztonsági réseket tartalmaznak. Ugyanakkor a HiatusRAT a gyenge jelszavakban rejlő lehetőségeket is igyekszik kiaknázni brute force módszerekkel.
 
A legutóbbi támadásokban olyan nyílt forráskódú szoftverek is szerephez jutottak, mint például az Ingram (webkamerák sebezhetőségeinek feltárására alkalmas eszköz) vagy a Medusa.
 
Az FBI szerint az utóbbi időben különösen sok Hikvision és Xiongmai márkájú készülék esett áldozatául a kártékony programnak, de számos egyéb gyártó megoldása is célkeresztbe került. Az elkövetők egyebek mellett a CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044 és CVE-2021-36260 azonosítójú sérülékenységeket igyekeznek kihasználni a 23, 26, 554, 2323, 567, 5523, 8080, 9530 és az 56575 TCP portokon keresztül.
 
A HiatusRAT kapcsán fontos megjegyezni, hogy az a kamerák és a DVR-ek mellett előszeretettel állítja célkeresztbe a nem megfelelően frissített, ezáltal sebezhető Vigor routereket is. A célja pedig nem más mint, hogy proxy (SOCKS5) szervereket alakítson ki saját „ízlése” szerint.
 
Az FBI a kockázatcsökkentés érdekében a hálózatos eszközök rendszeres frissítését javasolja. Emellett a különféle készülékeket csak akkor szabad elérhetővé tenni az internet felől, ha erre valóban szükség van. Ez esetben azonban gondoskodni kell a belső hálózaton belüli izolációról.