FBIは、Hiatusリモートアクセス型トロイの木馬(RAT)マルウェアが、中国ブランドのウェブカメラおよびDVRを標的としていることが確認されたとして警告を発出した。
具体的には、攻撃者はtelnetアクセスが可能なXiongmaiおよびHikvisionのデバイスを標的にしている。
FBIは、この種のデバイスの使用を制限し、ネットワークから隔離するよう促した。
民間産業向け通知(Private Industry Notification)において同局は、2024年3月にHiatusRATの攻撃者が、米国、オーストラリア、カナダ、ニュージーランド、英国のモノのインターネット(IoT)デバイスを標的としたスキャン・キャンペーンを実施したと警告した。
HiatusRATの最新の亜種は2022年以降使用されている。
サイバーセキュリティ企業も、これらの攻撃者がこのマルウェアを用いて台湾に拠点を置くさまざまな組織を標的にしたり、防衛契約提案の提出および取得に使用される米国政府サーバーに対して偵察を行ったりしていることを確認している。
攻撃者は、ウェブカメラとDVRについて、以下を含む脆弱性をスキャンした。
また、ベンダーが提供する脆弱なパスワードの悪用も狙った。
これらの脆弱性の一部には、欠陥に対処するためのセキュリティ更新が現時点で存在しないものがあり、その場合FBIは、ユーザーに対して、積極的にサポートされているモデルへ置き換えることを推奨した。
FBIによると、犯人はGithubで入手可能なウェブカメラ・スキャンツール「Ingram」を使用してスキャン活動を行っていた。
また、オープンソースのブルートフォース認証クラックツール「Medusa」を使用し、telnetアクセスが可能なHikvisionカメラを標的にした。
悪意あるサイバー攻撃者は一般に、RATを用いて標的デバイスを遠隔から乗っ取り、制御する。
FBIの通知によれば、Hiatusキャンペーンは当初、旧式のネットワーク境界デバイスを標的としていた。
IoTデバイスを保護する方法
IoTデバイスの普及により、組織には新たなセキュリティリスクと脆弱性が持ち込まれている。
これらのリスクを軽減するため、FBIは組織に対し、次の手順を講じるよう推奨した。
- セキュリティポリシー、ユーザー同意書、パッチ適用計画を見直す、または策定する
- メーカーの更新が利用可能になり次第、OS、ソフトウェア、ファームウェアにパッチを適用し更新する
- デバイスがメーカーによるサポート対象外となっている場合、ネットワークからの撤去を検討する
- ネットワークシステムおよびアカウントのパスワードを定期的に変更する
- 可能な場合は多要素認証(MFA)を必須とする
- ネットワークトラフィックを記録するセキュリティ監視ツールを導入する
- アンチウイルスおよびアンチマルウェアソリューションを自動更新し、定期的にウイルス/マルウェアスキャンを実施する
- 重要資産のオフラインバックアップを作成する
翻訳元: https://www.infosecurity-magazine.com/news/webcams-vulnerable-hiatusrat-fbi/
