Le FBI a averti aujourd’hui que de nouvelles attaques de logiciels malveillants HiatusRAT recherchent et infectent désormais des caméras Web et des DVR vulnérables exposés en ligne.
Comme l’explique une notification de l’industrie privée (PIN) publiée lundi, les attaquants concentrent leurs attaques sur les appareils de marque chinoise qui attendent toujours des correctifs de sécurité ou qui ont déjà atteint la fin de vie.
« En mars 2024, les acteurs de HiatusRAT ont mené une campagne de numérisation ciblant les appareils de l’Internet des objets (IoT) aux États-Unis, en Australie, au Canada, en Nouvelle-Zélande et au Royaume-Uni », a déclaré le FBI. « Les acteurs ont scanné les caméras Web et les enregistreurs vidéo numériques à la recherche de vulnérabilités, notamment CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 et de mots de passe faibles fournis par le fournisseur. »
Les auteurs de la menace ciblent principalement les appareils Hikvision et Xiongmai avec un accès telnet à l’aide d’Ingram, un outil d’analyse de vulnérabilité de caméra Web open source, et de Medusa, un outil d’authentification par force brute open source.
Leurs attaques ciblaient les caméras Web et les enregistreurs vidéo numériques avec le 23, 26, 554, 2323, 567, 5523, 8080, 9530, et 56575 ports TCP exposés à l’accès Internet.
Le FBI a conseillé aux défenseurs des réseaux de limiter l’utilisation des appareils mentionnés dans le code PIN d’aujourd’hui et/ou de les isoler du reste de leurs réseaux pour bloquer les tentatives de violation et de mouvement latéral à la suite d’attaques réussies de logiciels malveillants HiatusRAT. Il a également exhorté les administrateurs système et les professionnels de la cybersécurité à envoyer des indications suspectées de compromission (IOC) au Centre de traitement des plaintes contre la criminalité sur Internet du FBI ou à leur bureau local du FBI.
Cette campagne fait suite à deux autres séries d’attaques: l’une qui visait également un serveur du département de la Défense lors d’une attaque de reconnaissance et une vague antérieure d’attaques au cours de laquelle plus d’une centaine d’entreprises d’Amérique du Nord, d’Europe et d’Amérique du Sud ont vu leurs routeurs VPN Draytek Vigor infectés par HiatusRAT pour créer un réseau proxy secret.
Lumen, la société de cybersécurité qui a repéré HiatusRAT pour la première fois, a déclaré que ce logiciel malveillant est principalement utilisé pour déployer des charges utiles supplémentaires sur des appareils infectés, convertissant les systèmes compromis en proxys SOCKS5 pour la communication avec le serveur de commande et de contrôle.
Le changement de ciblage des préférences et de la collecte d’informations de HiatusRAT s’aligne sur les intérêts stratégiques chinois, un lien également mis en évidence dans l’évaluation annuelle des menaces 2023 du Bureau du Directeur du Renseignement national.