HiatusRAT: Stalna prijetnja globalnoj sajber bezbjednosti

Sofisticirani zlonamjerni softver poznat kao HiatusRAT izaziva zabrinutost među organizacijama širom sveta, a koliko je ta zabrinutost opravdana govori i upozorenje Federalnog istražnog biroa (eng. Federal Bureau of Investigation – FBI), Ovaj trojanac za daljinski pristup (eng. remote access trojan – RAT) omogućava zlonamjernim akterima da daljinski preuzmu kontrolu nad ciljanim uređajima, proširio je svoj obim sa zastarelih perifernih uređaja mreže na različite organizacije na Tajvanu, Sjedinjenim Američkim Državama, Australiji, Kanadi, Novom Zelandu i Ujedinjenom Kraljevstvu.

HiatusRAT

HiatusRAT: Stalna prijetnja globalnoj sajber bezbjednosti; Source: Bing Image Creator

HIATUSRAT

Poreklo HiatusRAT zlonamjernog softvera je još uvijek u velikoj mjeri nepoznato, ali ono što je jasno je da je njegov početni fokus bio na zastarelim mrežnim uređajima. Ovi uređaji, koji se često zanemaruju u smislu bezbjednosnih ažuriranja, pokazali su se kao bogata meta za zlonamjerne aktere. Operateri zlonamjernog softvera su bili u mogućnosti da iskoriste ranjivosti ovih uređaja kako bi dobili neovlašteni pristup i kontrolu nad njima.

Počeci ovog zlonamjernog softvera mogu se pratiti do jula 2022. godine kada je prvi put otkriven u digitalnom prostoru. U početku je zlonamjerni softver prvenstveno ciljao zastarele uređaje na periferiji mreže. Međutim, njegov obim se od tada značajno proširio, sa napadima na internet stvari (eng. internet of things – IoT) uređaje u više zemalja, pa čak i izviđačkim aktivnostima protiv servera američke vlade.

Zlonamjerni akteri koji stoje iza HiatusRAT zlonamjernog softvera posebno su zainteresovani za Xiongmai i Hikvision uređaje sa telnet pristupom. Oni koriste različite alate u svojim napadima, uključujući Ingram i Medusa alatke za dobijanje akreditiva. Napadi su ciljali veb kamere i digitalne video rekordere (eng. digital video recorders – DVR) sa 23, 26, 554, 2323, 567, 5523, 8080, 9530 i 56575 TCP portovima koji su bili izloženi pristupu Internetu.

Federalni istražni biro (FBI) je izdao obavještenje kojim upozorava stručnjake za sajber bezbjednost i administratore sistema o ovoj novoj prijetnji. Obavještenje naglašava potrebu za budnošću i hitnim mjerama za zaštitu od potencijalnih napada HiatusRAT zlonamjernog softvera. Zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera pokazali su interesovanje za iskorištavanje poznatih ranjivosti koje proizvođači tek treba da isprave. To uključuje CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044 i CVE-2021-36260.

 

Metode napada i uticaja

HiatusRAT je veoma sofisticirani zlonamjerni softver koji omogućava zlonamjernim akterima da daljinski preuzmu kontrolu nad ciljanim uređajima nakon što identifikuju ranjivosti u veb kamerama, digitalnim video rekorderima (DVR) ili drugim internet stvari (IoT) uređajima. Zlonamjerni akteri posebno traže ranjivosti u ovim uređajima, uključujući nekoliko kritičnih bezbjednosnih propusta koje proizvođači još nisu ispravili. Kada je uređaj kompromitovan, može se koristiti kao prikrivena posrednička (eng. proxy) mreža ili raspoređen za isporuku dodatnih korisnih tereta (eng. payload) na inficiranim uređajima.

Uticaj HiatusRAT napada može biti razoran. U martu 2024. godine, zlonamjerni akteri su pokrenuli široku kampanju skeniranja koja cilja internet stvari (IoT) uređaje u nekoliko zemalja, uključujući Sjedinjene Američke Države, Australiju, Kanadu, Novi Zeland i Ujedinjeno Kraljevstvo. Ova kampanja je pratila još dvije serije napada: jedan koji je takođe ciljao server Ministarstva odbrane Sjedinjenih Američkih Država u izviđačkom napadu i raniji talas napada u kojem je više od stotinu preduzeća imalo svoje DrayTek Vigor VPN rutere zaražene HiatusRAT zlonamjernim softverom.

Ovaj incident naglašava razorne posljedice uspješnih HiatusRAT napada na organizacije. Štaviše, izviđanje protiv servera američke vlade sugeriše stratešku namjeru iza ovih napada. Ako uspije, ovakav napad bi potencijalno mogao da ugrozi nacionalnu bezbjednost pružanjem vrijednih obavještajnih podataka protivnicima ili narušavanjem kritične infrastrukture.

 

Alati: Ingram i Medusa

Zlonamjerni akteri koji stoje iza HiatusRAT zlonamjernog softvera koriste različite alate u svojim napadima, od kojih su dva značajna Ingram i Medusa.

Ingram je alatka za skeniranje veb kamera u potrazi za ranjivostima dizajnirana posebno za veb kamere povezane na mrežu, a dostupna je na platformi GitHub. Podržava niz uobičajenih uređaja za veb kamere kao što su Hikvision i Dahua. Alat omogućava da se identifikuju potencijalne bezbjednosni propusti u ovim uređajima skeniranjem ciljnih IP adresa i njihovih portova.

Medusa je alatka komandne linije otvorenog kôda dizajnirana za brzo probijanje lozinke napadom grube sile (eng. brute force attack) . Stručnjaci za bezbjednost ga široko koriste za identifikaciju slabih ili podrazumijevanih lozinki u različitim protokolima. Ključne karakteristike ovog alata su da omogućava brze, istovremene pokušaje napada grube sile, uz podršku za mnoge protokole kao što su FTP, SSH, HTTP, RDP, MySQL i mnogi drugi. Pored toga ovaj alat je modularan, što znači da mu se lako dodaje podrška za nove usluge ili protokole.

Ovi alati omogućavaju zlonamjernim akterima da skeniranju ranjive uređaje i dobiju neovlašteni pristup kada ih pronađu. Njihova upotreba samo pokazuje sofisticiranost zlonamjernog aktera koji stoje iza HiatusRAT zlonamjernog softvera, jer oni ne samo da su svjesni ovih resursa, već su i dovoljno vješti da ih efikasno iskoriste u svojim zlonamjernim aktivnostima. Ovo naglašava potrebu za kontinuiranim obrazovanjem o sajber bezbjednosti i budnošću među organizacijama širom sveta.

 

Trenutno stanje i očekivanja

Trenutno, HiatusRAT zlonamjerni softver nastavlja sa radom, predstavljajući značajnu prijetnju i pojedincima i organizacijama širom sveta. Sposobnost zlonamjernog softvera da iskoristi ranjivosti u internet stvari (IoT) uređajima ga čini posebno opasnim, jer se ovi uređaji često zanemaruju kada su u pitanju mjere bezbjednosti.

Buduće prijetnje koje predstavlja HiatusRAT zlonamjerni softver će vjerovatno biti značajne, s obzirom na njegovu sofisticiranost i resurse koji su na raspolaganju njegovim operaterima. Od ključne je važnosti da pojedinci i organizacije preduzmu korake da se zaštite od takvih prijetnji, uključujući redovna ažuriranja, jake lozinke i oprez u otkrivanju neobične aktivnosti na svojim uređajima.

 

ZAKLJUČAK

Pojava HiatusRAT zlonamjernog softvera naglašava potrebu za oprezom u suočavanju sa sajber prijetnjama koje se stalno razvijaju. Kako internet stvari (IoT) uređaji postaju sve prisutniji, raste i potencijal da ih zlonamjerni akteri iskoriste. Od suštinskog je značaja da pojedinci i organizacije preduzmu korake da obezbijede svoje uređaje i budu informisani o novim prijetnjama kao što je HiatusRAT zlonamjerni softver.

Iako je HiatusRAT kampanja možda počela sa fokusom na zastarele uređaje na periferiji mreže, njeno širenje na uređaje interneta stvari (IoT) u više zemalja je dobar podsjetnik da niko nije siguran od sajber prijetnji. Na svima je da preduzmu mjere i obezbijede da uređaji budu bezbjedni od ove uporne prijetnje.

Štaviše, međunarodna saradnja u borbi protiv sajber kriminala je ključna. Vlade, agencije za sprovođenje zakona i subjekti iz privatnog sektora moraju da sarađuju kako bi razmijenili obavještajne podatke, razvili efikasne protivmjere i pozvali počinioce na odgovornost za svoja djela. Samo kroz kolektivnu akciju moguće je se nadati ublažavanju prijetnji koju predstavljaju zlonamjerni softveri kao što je HiatusRAT.

 

ZAŠTITA

U nastavku će biti nekoliko preporuka o tome kako se zaštiti od HiatusRAT zlonamjernog softvera:

  1. Korisnicima i organizacijama se savjetuje da ograniče upotrebu uređaja koji su identifikovani kao potencijalni ciljevi za HiatusRAT napade ili da se izoluju od ostatka mreže. Ovo je najefikasniji način za sprečavanje pokušaja upada i širenja zlonamjernog softvera nakon uspješnog napada;
  2. Potrebno je redovno preispitivati smjernice, primjenu upravljanja ispravkama, segmentaciju mreže, rotiranje akreditiva, primjenu jakih politika lozinki, korištenje autentifikacije u više koraka (eng. multi-factor authentication – MFA), korištenje alata za nadgledanje, revizija administrativnih naloga, zatvaranje neiskorištenih portova, ažuriranje sistema i aplikacija;
  3. U slučaju sumnje u kompromitovanje sistema HiatusRAT ili nekim drugim zlonamjernim softverom, potrebno je istu prijaviti agencijama za sprovođenje zakona kako bi efikasnije pratili i neutralisali ove prijetnje;
  4. Važno je biti u toku sa najnovijim prijetnjama u sajber bezbjednosti i mjerama za njihovo suzbijanje. Potrebno je redovno provjeravati da li postoje ažuriranja iz pouzdanih izvora sajber bezbjednosti kao što lokalna agencija za sajber bezbjednost, renomirani bezbjednosni istraživači i organizacije na društvenim medijima ili pretplatom na njihove biltene koji pružaju ažuriranja o novim prijetnjama i najboljim praksama u digitalnom prostoru;
  5. Instalirati renomirani bezbjednosni softver koji može pomoći u otkrivanju i sprečavanju dalje infiltracije HiatusRAT zlonamjernog softvera na uređaju. Uvjeriti se da se izabrani softver redovno ažurira i da nudi zaštitu u realnom vremenu od zlonamjernog softvera, špijunskog softvera i drugih prijetnji.

Dok prijetnje kao što je HiatusRAT zlonamjerni softver mogu biti zastrašujuće, njihovo razumijevanje je prvi korak ka zaštiti. Prateći ove prakse i primjenjujući oprez, moguće je značajno smanjiti rizik od sajber napada na mrežu.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.