Специалисты Vedere Labs ИБ-компании Forescout Technologies представили новую PoC-атаку с использованием вымогательского ПО на IoT- и OT-оборудование.
По словам главы исследовательского отдела Vedere Labs Даниэля дос Сантоса (Daniel dos Santos), это «первая и единственная в настоящее время работа, совмещающая миры IT, OT и вымогательского ПО для IoT».
Атака заключается в следующем: с помощью IP-камеры гипотетический хакер взламывает IT-инфраструктуру организации и использует полученный доступ для отключения операционно-технологического (OT) оборудования. В атаке эксплуатируются существующие известные уязвимости, и новые эксплоиты не предусмотрены.
В ходе атаки злоумышленник взламывает подключенные к сети камеры видеонаблюдения, в частности от Axis и Hikvision. По данным Forescout на этих двух вендоров приходится 77% от всех IP-камер в корпоративных сетях. Кроме того, более полумиллиона устройств используют заводскую конфигурацию VLAN 1, то есть, камеры не настроены должным образом с учетом сегментации сети.
Исследователи показали, как с помощью уязвимостей в камерах злоумышленники могут выполнять команды для получения доступа к Windows-машинам. Оттуда они могут выполнять дальнейшие команды для выявления дополнительных подключенных к камерам машин и машин с ненадежными учетными данными, открывать RDP-порты и прокладывать SSH-туннели.
Затем с помощью полученного доступа злоумышленники могут открывать RDP-сеанс, устанавливать вредоносное ПО и отключать межсетевые экраны и антивирусные решения. Доступ позволяет хакерам повышать свои привилегии, устанавливать вымогательское ПО и криптовалютные майнеры, а также запускать вредоносные исполняемые файлы, нацеленные на OT-системы.
В своем видео специалисты продемонстрировали симуляцию атаки вымогательского ПО на условную больницу. Исследователи получили доступ к IP-камере, а через нее – к сети больницы и выявили программируемый логический контроллер, использующийся для управления HVAC-системой больницы. Повысив свои привилегии, они установили вымогательское ПО и отключили HVAC.
Хотя смоделированная атака слишком специфична, чтобы ее можно было непосредственно применить к какой-либо одной организации, исследование Vedere Labs показывает, как через различные типы подключенного к сети оборудования злоумышленники могут причинить серьезный вред организациям.
Источник: SecurityLab