Un grup de hackeri legati de agentiile de spionaj rusesti intitulati Fancy Bear folosesc dispozitive „internet of things”, cum ar fi telefoanele si imprimantele conectate la internet pentru a intra in retelele corporative, a anuntat Microsoft.
Hackerii rusi, care poarta nume precum Strontium, Fancy Bear si APT28, sunt legati de agentia militara de informatii GRU.
Grupul este activ din cel putin 2007. Sunt creditati cu o lunga lista de activitati infame, inclusiv intrarea in Comitetul National Democrat in 2016, atacurile NotPetya impotriva Ucrainei in 2017 si vizarea grupurilor politice din Europa si America de Nord pe tot parcursul anului 2018 .
Noua campanie de la GRU a compromis cele mai populare dispozitive legate la internet , inclusiv un telefon VOIP (voice over internet protocol), o imprimanta de birou conectata si un decodificator video pentru a avea acces la retelele corporative. Microsoft are cea mai buna vizibilitate in retelele corporative de pe Pamant, deoarece atat de multe organizatii folosesc masini Windows. Centrul de informatii despre amenintari Microsoft a identificat noua lucrare Fancy Bear incepand cu aprilie 2019.
Desi lucruri precum smartphone-urile si computerele desktop sunt de cele mai multe ori esentiale atunci cand vine vorba de securitate, deseori imprimanta, camera sau decodorul lasa o usa deschisa pentru ca un hacker sa o exploateze.
In mai multe cazuri, Microsoft a vazut ca Fancy Bear a avut acces la retelele vizate, deoarece dispozitivele IoT au fost implementate cu parole implicite. In alt caz, ultima actualizare de securitate nu a fost aplicata. Utilizand aceste dispozitive ca punct de plecare, hackerii au stabilit un numitor comun si au cautat accesul suplimentar.
„Odata ce hackerul a stabilit cu succes accesul la retea, o scanare simpla a retelei pentru a cauta alte dispozitive nesigure le-a permis sa descopere si sa se deplaseze prin retea in cautarea de conturi cu privilegii superioare care ar acorda acces la date cu valoare mai mare”, Microsoft avertizat intr-o postare pe blog publicata luni.
Hackerii s-au mutat de la un dispozitiv la altul, stabilind persistenta si mapand reteaua pe masura ce mergeau, comunicand tot timpul cu serverele de comanda si control.
Microsoft a urmarit indeaproape acest grup in ultimul an.
Din cele 1.400 de notificari pe care compania le-a livrat celor vizate sau compromise de Fancy Bear, 20% au fost destinate organizatiilor neguvernamentale globale, think tank-urilor sau organizatiilor afiliate politic. Restul de 80% s-au referit la diverse sectoare, inclusiv guvern, tehnologie, militar, medicina, educatie si inginerie.
“Am observat si notificat atacurile STRONTIUM impotriva comitetelor olimpice de organizare, agentiile anti-doping si industria ospitalitatii”, a avertizat blogul Microsoft.
Anul trecut, FBI a intreprins actiuni perturbatoare impotriva unei campanii Fancy Bear, cunoscuta sub numele de „VPNFilter”, care a vizat routerele si dispozitivele de stocare a retelei cu malware cu capacitati distructive de „bricking” a unui dispozitiv, prin stergerea firmware-ului si transformarea dispozitivului inutilizabil. Acea campanie a vizat in special Ucraina, o tinta favorita a Fancy Bear.
[…] prezidentiale din 2016 din SUA. In atacurile asupra SUA, APT29 a lucrat alaturi de colegii hackeri rusi Fancy Bear si […]