当前位置: > 华宇总代理 > 正文 正文

微软揭露俄罗斯对电话、打印机和视频解码器的

 

 

 

 微软安全响应中心(Microsoft Security Response Center)团队周一报告称,俄罗斯黑客组织一直在侵入打印机、手机和视频解码器,以进入企业网络。该组织以在2016年总统大选期间窃取民主党全国委员会(Democratic National Committee)的敏感电子邮件而闻名。

 
微软发现,华宇代理这个名为“锶”(Strontium)、“花式熊”(Fancy Bear)和“APT 28”的组织使用制造商的默认密码或利用未修补的漏洞访问了这些设备。
 
破解一台设备后,入侵者进入其公司网络,扫描更不安全的设备,在网络上移动,用高价值的数据损害高特权帐户。
 
微软指出,当入侵者从一个设备转移到另一个设备时,他们删除了一个简单的shell脚本,以便在网络上建立持久性,从而允许继续进行搜索的扩展访问。
 
黑客在寻找什么?
 
“由于我们在早期阶段就发现了这些攻击,我们还不能最终确定锶在这些入侵中的最终目标是什么,”MSRC小组的报告说。
 
“虽然业界大多关注硬件植入的威胁,但从这个例子中我们可以看到,对手很乐意利用更简单的配置和安全问题来实现他们的目标,”报告继续写道。“随着越来越多的物联网设备被部署到企业环境中,这些利用薄弱设备管理的简单攻击可能会扩大。”
 
物联网不是玩具
 
旧金山物联网安全平台制造商Mocana的首席技术官迪安•韦伯(Dean Weber)解释称,微软案中的黑客对一款防护松懈的设备发起了攻击,该设备的默认密码或易于猜测的密码容易受到字典攻击。
 
在消费者领域,这样的攻击本身不会有多大价值,因为该设备将连接到家庭网络,“但如果您谈论的是能够访问ICS-SCADA世界的设备,那就有问题了。现在你可以访问工业平台的命令和控制结构,”他告诉TechNewsWorld。
 
韦伯说:“人们认为这些设备是玩具,实际上它们就是玩具,但如果它们能让攻击者进入网络并造成破坏,那么这个玩具就能给他们提供很多访问权限。”
 
位于加州纽波特比奇的网络和物理安全咨询公司Onyx的高级技术总监斯宾塞•利希滕斯坦(Spencer Lichtenstein)表示,微软描述的这类攻击的严重性因组织的准备情况而异。
 
他在接受TechNewsWorld采访时表示:“拥有最新资产清单的企业可以更容易地将物联网设备纳入考虑范围,因此更容易获得这些设备。”
 
李奇登斯坦继续说道:“了解你作为一家公司所拥有的一切,是获得一项产品的关键。”“这种威胁越严重,你对物联网足迹的了解就越少,对企业网络的控制就越少。”
 
黑客磁铁
 
引发黑客利用的物联网产品缺陷似乎是一个日益严重的问题。
 
总部位于旧金山的众包安全公司Bugcrowd的首席技术官大卫·贝克(David Baker)表示,2018年物联网漏洞报告同比增长了344%。
 
他在接受TechNewsWorld采访时表示:“考虑到联网设备的数量和类型,很有可能出现一个巨大的易受攻击的表面。”
 
贝克继续说道:“在我们的家中、工作场所和任何地方,都有联网设备。”“将这种巨大的易受攻击的表面与常见的用户配置错误结合起来,网络罪犯往往可以轻松地利用物联网设备。”
 
位于加州圣何塞的思科系统(Cisco Systems)威胁情报部门思科塔洛斯(Cisco Talos)外部部主任克雷格?威廉姆斯(Craig Williams)指出,物联网设备对黑客具有吸引力,因为这些设备在网络上往往是隐形的,不需要维护。
他对TechNewsWorld表示:“如果攻击者能够破坏未维护的物联网设备,那么在可预见的未来,它就能有效地充当一扇门,攻击者可以利用它访问网络。”
 
总部位于伦敦的网络、信息安全和风险管理权威机构信息安全论坛(Information Security Forum)董事总经理史蒂夫•德宾(Steve Durbin)表示,安全成本可能很高,因此许多物联网设备的开发商未能充分考虑安全问题。
 
他在接受TechNewsWorld采访时表示:“它们的创建是为了以尽可能低的成本提供和处理信息。”
 
注意安全
 
威廉姆斯说,虽然一些设备制造商通过部署自动补丁等功能,在安全方面取得了长足的进步,但大多数情况下,这些设备的设计都尽可能地便宜。
 
他说:“不幸的是,如果你购买的设备价格是首要考虑的问题,那么它背后不太可能有一个软件工程师团队来设计未来的固件更新,以防范安全问题。”
 
波士顿关键基础设施和工业网络安全公司CyberX的工业网络安全副总裁菲尔?奈雷(Phil Neray)说,物联网设备制造商在设计产品时经常走捷径。
 
他对TechNewsWorld表示:“他们通常会抓取几个开源库,然后把它们放到自己的产品中。”“他们没有检查这些库是否存在漏洞,是否容易受到攻击。而且随着这些库补丁的发布,它们肯定不会随着时间的推移保持更新。”
 
Onyx的李奇登斯坦指出,设备制造商更加意识到加强安全控制的必要性,但在实际改进方面的进展很难衡量。“许多企业级物联网设备——用于建筑和集成电路系统的恒温器——正在取得进展,吸引着投资,但相对而言,像灯泡或冰箱这样的‘智能产品’没有取得任何重大进展。”
 
在政府方面,已经有了一些明显的进展。美国国家标准与技术研究院(National Institute of Standards and Technology)最近发布了物联网设备的“核心基线”。它包括购买者在购买物联网设备时应该注意的六个安全特性:设备识别、设备配置、数据保护、接口逻辑访问、软件和固件更新以及网络安全事件日志。
 
不过,总部位于加州圣何塞的自动威胁管理解决方案提供商Vectra的安全分析主管克里斯•莫拉莱斯(Chris Morales)表示,缺乏安全进展可能会让从业者感到沮丧。
 
他在接受TechNewsWorld采访时表示,研究人员在2016年发布的一份Vectra报告中详细描述了网络摄像头被用作连接网络的后门。“然而,我们仍然听到同样的问题。没有什么改变,华宇物联网的安全性几乎没有改善。”

版权保护: 本文由 原创,转载请保留链接: http://www.allart.com.cn//cms/2019/0808/19.html

相关文章