L’FBI avverte del pericolo di HiatusRAT che prende di mira telecamere e DVR

Il Federal Bureau of Investigation (FBI) ha emesso una Notifica Privata all’Industria (PIN) per avvertire di una campagna malware in corso che prende di mira le webcam di marca cinese e i registratori video digitali (DVRs).

Il malware, noto come HiatusRAT, concede agli aggressori l’accesso remoto ai dispositivi compromessi, sollevando preoccupazioni significative per la sicurezza informatica.

HiatusRAT, un trojan di accesso remoto, è attivo dal luglio 2022. Inizialmente è stato utilizzato per sfruttare dispositivi di rete perimetrali obsoleti, permettendo a malintenzionati di raccogliere traffico e stabilire reti di comando e controllo segrete.

Più recentemente, si è osservato che il malware prende di mira i dispositivi dell’Internet delle Cose (IoT), inclusi le webcam e i DVR.

L’FBI sottolinea che questi attacchi si concentrano su sfruttare le vulnerabilità nei dispositivi prodotti da produttori cinesi come Xiongmai e Hikvision. Gli aggressori hanno cercato debolezze come autenticazione impropria, firmware obsoleto e password deboli o predefinite.

Vulnerabilità specifiche, tra cui CVE-2017-7921 e CVE-2018-9995, sono state prese di mira, permettendo agli aggressori di bypassare l’autenticazione o di elevare i privilegi. La campagna di malware ha colpito dispositivi negli Stati Uniti, Australia, Canada, Nuova Zelanda e Regno Unito.

Utilizzando strumenti come Ingram e Medusa, gli aggressori sfruttano le porte TCP comunemente associate a questi dispositivi. Nonostante i rischi critici, molte delle vulnerabilità rimangono non corrette dai produttori, lasciando numerosi dispositivi esposti a ulteriori sfruttamenti.

L’FBI ha delineato diverse strategie di mitigazione per ridurre la probabilità e l’impatto di questi attacchi. Le raccomandazioni chiave includono l’aggiornamento del firmware del dispositivo, la sostituzione dei modelli non supportati, l’applicazione di politiche di password forti e l’implementazione dell’autenticazione a più fattori.

Si incoraggiano anche le organizzazioni a segmentare le loro reti, monitorare il traffico per attività anomale e disabilitare le porte di accesso remoto inutilizzate.

L’agenzia ha sottolineato l’importanza di un’azione tempestiva, in particolare per le organizzazioni che si affidano ai dispositivi IoT per scopi di sorveglianza o operativi. Questi dispositivi, spesso critici per l’infrastruttura, sono altamente suscettibili di essere sfruttati se non adeguatamente protetti.

L’avvertimento dell’FBI sottolinea i rischi più ampi associati al crescente numero di dispositivi connessi nelle reti moderne. Man mano che il panorama delle minacce si evolve, l’agenzia invita il settore privato a dare priorità alle migliori pratiche di cybersecurity per difendersi dagli attori malevoli che sfruttano strumenti come HiatusRAT.