HomeVulnerability“Ratten”-Malware greift Kameras und DVR an

“Ratten”-Malware greift Kameras und DVR an

Digitale Nager machen sich laut FBI vermehrt über chinesische Webcams sowie Router her.

gumiigutt/shutterstock.com

Sie gehören spätestens seit Corona zum Inventar eines jeden Büros: Webkameras. Häufig handelt es sich jedoch nicht um hochwertige Ware, insbesondere wenn das Gerät nur sporadisch zum Einsatz kommt. Dann greifen viele Konsumenten gerne zu einem Billigangebot aus Fernost. Doch das verursacht nicht nur regelmäßige Hardwareprobleme, sondern kann zu einem veritablen Sicherheitsproblem werden.

Das FBI hat am 17. Dezember davor gewarnt, dass neue HiatusRAT-Malware-Angriffe nach anfälligen Webkameras und DVRs suchen, die on-line zugänglich sind. Ziel der dahintersteckenden Kriminellen ist es, die Geräte zu infizieren und darüber zum Beispiel Hintertüren in Laptop einzubauen.

Wie eine am 16. Dezember veröffentlichte Personal Business Notification (PIN) erklärt, konzentrieren die Angreifer ihre Angriffe auf spezielle Geräte chinesischer Hersteller. Diese weisen vielfach Lücken bei Sicherheits-Patches auf oder haben bereits das Ende ihrer Lebensdauer erreicht.

Die Kameras werden gescannt

Im Vorfeld möglicher Attacken führten die HiatusRAT-Akteure bereits im März 2024 eine breit angelegte Scanning-Kampagne durch. Ziel waren Web of Issues (IoT)-Geräte in den USA, Australien, Kanada, Neuseeland und dem Vereinigten Königreich, so das FBI.

See also  OpenSSH vulnerability regreSSHion places hundreds of thousands of servers in danger

Die Bedrohungsakteure scannten hierbei Webkameras und DVRs auf Schwachstellen wie

  • CVE-2017-7921,
  • CVE-2018-9995,
  • CVE-2020-25078,
  • CVE-2021-33044,
  • CVE-2021-36260 und
  • schwache, vom Hersteller voreingestellte Passwörter.

Besonderer Fokus lag auf Geräten von Hikvision- und Xiongmai, welche über einen Telnet-Zugang verfügen. Die Kriminellen verwenden dabei das Open-Supply-Instrument Ingram um bei den Webkameras Schwachstellen aufzuspüren.  Mit Medusa machen sich die Angreifer ein weiteres Open-Supply-Instrument zu Nutze und hebeln damit die Authentifizierung aus.

Die Angriffe zielten auf Webkameras und DVRs mit den TCP-Ports 23, 26, 554, 2323, 567, 5523, 8080, 9530 und 56575, die für den Internetzugang offen sind.

Zwei Angriffe vor der eigentlichen Attacke

Die Kampagne ist der Nachfolger zweier groß angelegter Angriffsserien:

  • eine, deren Ziel ein Server des US-amerikanischen Verteidigungsministeriums im Jahr 2023 conflict, wie Bleeping Laptop berichtete und
  • mehr als hundert Unternehmen aus Nordamerika, Europa und Südamerika deren DrayTek Vigor VPN-Router mit HiatusRAT infiziert worden waren, um ein verdecktes Proxy-Netzwerk aufzubauen.

Einschränken und isolieren

Das FBI rät Nutzern daher, die in der PIN genannten Geräte nur noch eingeschränkt zu nutzen beziehungsweise sie vom Relaxation ihres Netzwerks zu isolieren. Nur so ließen sich Einbruchs- und Malware-Ausbreitungsversuche nach erfolgreichen HiatusRAT-Angriffen verhindern.

See also  RedLine and META infostealers taken down in worldwide legislation enforcement motion

Außerdem fordert die US-Behörde Systemadministratoren und Cybersicherheitsexperten auf, mutmaßliche Anzeichen einer Kompromittierung (IOC) an das Web Crime Grievance Heart des FBI oder die jeweiligen örtlichen FBI-Außenstellen zu melden.

Die Ratten werden ins Licht gezerrt

Lumen, ein US-amerikanisches Cybersicherheitsunternehmen, entdeckte HiatusRAT im Sommer 2023 zuerst. Die Experten fanden heraus, dass es sich hierbei um eine Malware handelt, die zusätzliche Schadsoftware auf infizierten Geräten installiert. Die so gekaperten Geräte werden dann in SOCKS5-Proxys für die Kommunikation mit Command-and-Management-Servern umwandelt.

Die Ziele der Malware stimmen mit Chinas strategischen Interessen hinsichtlich Cyberspionage und Datenklau überein. Das zumindest hebt die Bedrohungsanalyse 2023 der United States Intelligence Neighborhood (IC) hervor.

vgwort

- Advertisment -spot_img
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisment -

Most Popular