Национальная служба экономической разведки

(383) 201-22-22, (383) 201-83-52

г. Новосибирск, ул. Железнодорожная, 6/2

Национальная служба экономической разведки – это крупнейшая Российская организация, занимающаяся сбором, обработкой и анализом информации экономического характера о ситуации в различных секторах рынка, а также его участниках.
Национальная служба экономической разведки специализируется на комплексном информационно-аналитическом обеспечении ведущих предприятий Российской Федерации. Благодаря профессионализму и огромному опыту сотрудников службы, мы добиваемся самых лучших результатов в работе и гордимся нашим вкладом в защиту экономической безопасности предприятий России.
Служба имеет представительства в разных регионах России, включая города федерального значения.

Мошенники атакуют IP-камеры

Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Звучит странно, но в развитии событий есть логика, которую легко применить к другой организации

 

 

Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Однако, это не остановило атакующих.

Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam камере ноутбука или смартфона), но по ряду косвенных признаков есть основания предполагать, что речь о независимом сетевом устройстве, применяемом для видеонаблюдения.

 

Камера стала прекрасной мишенью для атакующих по нескольким причинам:

  • устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell);
  • камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira;
  • это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность.

 

Инцидент с IP-камерой наглядно демонстрирует некоторые принципы целевых кибератак и подсказывает способы эффективного противодействия:

  • ограничивайте привилегии специализированных сетевых устройств и доступ к ним. Ключевой проблемой в описанной атаке стало то, что IP-камера имела широкие права доступа к файловым серверам.;
  • отключите на умных устройствах ненужные сервисы и стандартные учетные записи, измените стандартные пароли;
  • используйте решение EDR на всех серверах, рабочих компьютерах и других совместимых устройствах;
  • включите в программы управления уязвимостями и патчами не только серверное ПО, но и любую умную технику, имеющуюся в инфраструктуре;
  • по возможности настройте мониторинг, например отправку телеметрии в SIEM-систему, даже на специализированных устройствах, на которых невозможно установить EDR (маршрутизаторы и межсетевые экраны, принтеры, камеры видеонаблюдения и так далее);
  • используйте решения класса XDR, которое объединяет мониторинг в сети и на хостах с инструментами обнаружения аномалий, ручного и автоматического реагирования.

 

 

По материалам Касперский