สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกประกาศอุตสาหกรรมเอกชน (PIN) เมื่อวันจันทร์ เพื่อแจ้งเตือนองค์กรต่างๆ เกี่ยวกับการโจมตีด้วยมัลแวร์ HiatusRAT คลื่นลูกใหม่ต่อกล้องเว็บและ DVR ของแบรนด์จีน
“HiatusRAT เป็นโทรจันการเข้าถึงระยะไกล (RAT) ซึ่งมีแนวโน้มว่าจะมีการทำซ้ำครั้งล่าสุดตั้งแต่เดือนกรกฎาคม 2565 ผู้โจมตีทางไซเบอร์ที่เป็นอันตรายมักใช้ RAT เพื่อเข้าควบคุมและควบคุมอุปกรณ์เป้าหมายจากระยะไกล”เอฟบีไอกล่าว-
“เดิมทีแคมเปญ Hiatus มุ่งเป้าไปที่อุปกรณ์ขอบเครือข่ายที่ล้าสมัย บริษัทรักษาความปลอดภัยทางไซเบอร์ยังได้สังเกตเห็นนักแสดงเหล่านี้ใช้มัลแวร์เพื่อกำหนดเป้าหมายองค์กรในไต้หวันและดำเนินการลาดตระเวนกับเซิร์ฟเวอร์ของรัฐบาลสหรัฐฯ ที่ใช้สำหรับการส่งและดึงข้อเสนอสัญญาการป้องกันประเทศ”
แคมเปญการสแกนซึ่งระบุครั้งแรกในเดือนมีนาคม พ.ศ. 2567 กำหนดเป้าหมายไปที่อุปกรณ์ Internet of Things (IoT) ที่มีช่องโหว่ โดยเฉพาะกล้องเว็บและ DVR ในประเทศต่างๆ รวมถึงสหรัฐอเมริกา ออสเตรเลีย แคนาดา นิวซีแลนด์ และสหราชอาณาจักร
ตามข้อมูลของ FBI ผู้คุกคามที่อยู่เบื้องหลังมัลแวร์ HiatusRAT ได้สแกนกล้องเว็บและ DVR เพื่อหาช่องโหว่รวมถึง CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260, ควบคู่ไปกับรหัสผ่านที่อ่อนแอจากผู้จำหน่าย ช่องโหว่เหล่านี้จำนวนมากยังไม่ได้รับการแก้ไขโดยผู้ขาย
นอกจากนี้ ผู้คุกคามยังมุ่งเป้าไปที่ผลิตภัณฑ์แบรนด์จีน เช่น Hikvision และ Xiongmai ด้วยการเข้าถึงเทลเน็ตที่ล้าสมัยหรือไม่มีแพตช์
เครื่องมือต่างๆ เช่น Ingram ซึ่งเป็นเครื่องสแกนแบบโอเพ่นซอร์สสำหรับช่องโหว่ของกล้องเว็บถูกนำมาใช้เพื่อดำเนินกิจกรรมการสแกน ในขณะที่ Medusa ซึ่งเป็นเครื่องมือถอดรหัสการตรวจสอบสิทธิ์แบบ brute-force แบบโอเพ่นซอร์ส ถูกนำมาใช้เพื่อกำหนดเป้าหมายกล้อง Hikvision ด้วยการเข้าถึง Telnet
ความพยายามในการสแกนของมัลแวร์มุ่งเป้าไปที่กล้องเว็บและ DVR ด้วยพอร์ต TCP 23, 26, 554, 2323, 567, 5523, 8080, 9530 และ 56575 ที่เข้าถึงอินเทอร์เน็ตได้
เมื่อถูกแทรกซึม ระบบที่ถูกบุกรุกจะถูกแปลงเป็นพร็อกซี SOCKS5 อำนวยความสะดวกในการสื่อสารแบบซ่อนเร้นกับเซิร์ฟเวอร์สั่งการและควบคุม และเปิดใช้งานการติดตั้งมัลแวร์เพิ่มเติม
หลังจากการโจมตีของมัลแวร์ HiatusRAT ที่ประสบความสำเร็จ FBI ขอแนะนำอย่างยิ่งให้ผู้ดูแลระบบเครือข่ายจำกัดการใช้อุปกรณ์ที่กล่าวถึงใน PIN โดยการแยกและ/หรือเปลี่ยนอุปกรณ์ที่มีช่องโหว่เพื่อป้องกันการละเมิดเครือข่ายและการเคลื่อนไหวด้านข้าง
หน่วยงานยังได้เรียกร้องให้ผู้ดูแลระบบและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ตรวจสอบข้อบ่งชี้ของการประนีประนอม (IOC) และรายงานกิจกรรมที่น่าสงสัยใด ๆ ไปยังศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของ FBI หรือสำนักงานภาคสนามในพื้นที่
