Атака вымогателей через IP-камеру: как такого не допустить

Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.

Анатомия атаки

Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.

Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.

Камера стала прекрасной мишенью для атакующих по нескольким причинам:

• устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell);
• камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira;
• это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность.

Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.

Как не стать следующей жертвой

Инцидент с IP-камерой наглядно демонстрирует некоторые принципы целевых кибератак и подсказывает способы эффективного противодействия. Мы ранжируем их от более простых в исполнении к более сложным:

• ограничивайте привилегии специализированных сетевых устройств и доступ к ним. Ключевой проблемой в описанной атаке стало то, что IP-камера имела широкие права доступа к файловым серверам. Такие устройства должны находиться в изолированной подсети, а если это почему-то невозможно — иметь минимальные права взаимодействия с другими компьютерами. Например, доступ на запись только в одну папку одного сервера, где хранятся видеозаписи. А доступ к самой камере и этой папке должен быть возможен лишь с компьютеров охраны и других профильных специалистов. Этот совет сложнее реализовать с другими специализированными устройствами, например принтерами, но с камерами это легко осуществимо;
• отключите на умных устройствах ненужные сервисы и стандартные учетные записи, измените стандартные пароли;
• используйте решение EDR на всех серверах, рабочих компьютерах и других совместимых устройствах. Важно, чтобы выбранное решение было способно опознавать аномальную активность на серверах, например попытки дистанционного шифрования через службу SMB;
• включите в программы управления уязвимостями и патчами не только серверное ПО, но и любую умную технику, имеющуюся в инфраструктуре. Для этого нужно первым делом провести подробную инвентаризацию таких устройств;
• по возможности настройте мониторинг, например отправку телеметрии в SIEM-систему, даже на специализированных устройствах, на которых невозможно установить EDR (маршрутизаторы и межсетевые экраны, принтеры, камеры видеонаблюдения и так далее);
• перейдите на решение класса XDR, которое объединяет мониторинг в сети и на хостах с инструментами обнаружения аномалий, ручного и автоматического реагирования.