Le FBI a averti aujourd’hui que de nouvelles attaques de logiciels malveillants HiatusRAT recherchent et infectent désormais les caméras Web et les DVR vulnérables exposés en ligne.
Comme l’explique une notification de l’industrie privée (PIN) publiée lundi, les attaquants concentrent leurs attaques sur les appareils de marque chinoise qui attendent toujours des correctifs de sécurité ou ont déjà atteint la fin de leur vie.
« En mars 2024, les acteurs de HiatusRAT ont mené une campagne d’analyse ciblant les appareils Internet des objets (IoT) aux États-Unis, en Australie, au Canada, en Nouvelle-Zélande et au Royaume-Uni », indique le rapport. Le FBI a dit. « Les acteurs ont analysé les caméras Web et les DVR à la recherche de vulnérabilités, notamment CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 et de mots de passe faibles fournis par le fournisseur. »
Les auteurs de la menace ciblent principalement les appareils Hikvision et Xiongmai dotés d’un accès telnet en utilisant Ingramun outil open source d’analyse des vulnérabilités des caméras Web, et Méduseun outil d’authentification par force brute open source.
Leurs attaques ciblaient les caméras Web et les DVR dotés des ports TCP 23, 26, 554, 2323, 567, 5523, 8080, 9530 et 56575 exposés à l’accès Internet.
Le FBI a conseillé aux défenseurs des réseaux de limiter l’utilisation des appareils mentionnés dans le code PIN d’aujourd’hui et/ou de les isoler du reste de leurs réseaux pour bloquer les tentatives de violation et de mouvement latéral suite à des attaques réussies de logiciels malveillants HiatusRAT. Il a également exhorté les administrateurs système et les professionnels de la cybersécurité à envoyer les indications suspectées de compromission (IOC) au Centre de plaintes contre la criminalité sur Internet du FBI ou à leur bureau local du FBI.
Cette campagne fait suite à deux autres séries d’attaques : une qui a également ciblé un serveur du ministère de la Défense lors d’une attaque de reconnaissance et une vague d’attaques antérieure au cours de laquelle plus d’une centaine d’entreprises d’Amérique du Nord, d’Europe et d’Amérique du Sud disposaient de leurs routeurs VPN DrayTek Vigor. infecté par HiatusRAT pour créer un réseau proxy secret.
Lumen, la société de cybersécurité qui a repéré HiatusRAT pour la première fois, a déclaré que ce malware est principalement utilisé pour déployer des charges utiles supplémentaires sur les appareils infectés, convertissant les systèmes compromis en proxys SOCKS5 pour la communication du serveur de commande et de contrôle.
Le changement de HiatusRAT dans le ciblage des préférences et la collecte d’informations s’aligne sur les intérêts stratégiques chinois, un lien également souligné dans le rapport du Bureau du directeur du renseignement national. Évaluation annuelle des menaces 2023.