Эксперты продемонстрировали PoC-атаку вымогательского ПО на IoT и OT

Эксперты продемонстрировали PoC-атаку вымогательского ПО на IoT и OT

Исследователи показали, как через уязвимости в IP-камерах можно выполнить команды для получения доступа к Windows-машинам.

Специалисты Vedere Labs ИБ-компании Forescout Technologies представили новую PoC-атаку с использованием вымогательского ПО на IoT- и OT-оборудование.

По словам главы исследовательского отдела Vedere Labs Даниэля дос Сантоса (Daniel dos Santos), это «первая и единственная в настоящее время работа, совмещающая миры IT, OT и вымогательского ПО для IoT».

Атака заключается в следующем: с помощью IP-камеры гипотетический хакер взламывает IT-инфраструктуру организации и использует полученный доступ для отключения операционно-технологического (OT) оборудования. В атаке эксплуатируются существующие известные уязвимости, и новые эксплоиты не предусмотрены.

В ходе атаки злоумышленник взламывает подключенные к сети камеры видеонаблюдения, в частности от Axis и Hikvision. По данным Forescout на этих двух вендоров приходится 77% от всех IP-камер в корпоративных сетях. Кроме того, более полумиллиона устройств используют заводскую конфигурацию VLAN 1, то есть, камеры не настроены должным образом с учетом сегментации сети.

Исследователи показали, как с помощью уязвимостей в камерах злоумышленники могут выполнять команды для получения доступа к Windows-машинам. Оттуда они могут выполнять дальнейшие команды для выявления дополнительных подключенных к камерам машин и машин с ненадежными учетными данными, открывать RDP-порты и прокладывать SSH-туннели.

Затем с помощью полученного доступа злоумышленники могут открывать RDP-сеанс, устанавливать вредоносное ПО и отключать межсетевые экраны и антивирусные решения. Доступ позволяет хакерам повышать свои привилегии, устанавливать вымогательское ПО и криптовалютные майнеры, а также запускать вредоносные исполняемые файлы, нацеленные на OT-системы.

В своем видео специалисты продемонстрировали симуляцию атаки вымогательского ПО на условную больницу. Исследователи получили доступ к IP-камере, а через нее – к сети больницы и выявили программируемый логический контроллер, использующийся для управления HVAC-системой больницы. Повысив свои привилегии, они установили вымогательское ПО и отключили HVAC.

Хотя смоделированная атака слишком специфична, чтобы ее можно было непосредственно применить к какой-либо одной организации, исследование Vedere Labs показывает, как через различные типы подключенного к сети оборудования злоумышленники могут причинить серьезный вред организациям.

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Сбалансированная диета для серого вещества

Подпишитесь и станьте самым умным овощем