Ειδικοί ασφαλείας ανέφεραν ότι κάποιοι hackers κατάφεραν να μολύνουν με κακόβουλο λογισμικό ορισμένες συσκευές IoT που τρέχουν ακόμα Windows 7 και έχουν σχεδιαστεί από τρεις από τους μεγαλύτερους κατασκευαστές στον κόσμο.
Την ανακάλυψη έκαναν ερευνητές της TrapX, οι οποίοι θεωρούν ότι ίσως πρόκειται για μια “supply chain επίθεση“.
Σύμφωνα με τα στοιχεία, η μόλυνση έλαβε χώρα πριν λίγους μήνες, τον Οκτώβριο του 2019. Οι hackers μόλυναν τις IoT συσκευές με ένα κακόβουλο λογισμικό που ανήκει στην κατηγορία των cryptocurrency miners. Οι IoT συσκευές που επηρεάστηκαν, συμπεριλαμβάνουν self guided οχήματα (AGV, ρομπότ), έναν εκτυπωτή και μια έξυπνη τηλεόραση.
“Το δείγμα κακόβουλου λογισμικού που αναλύθηκε από την TrapX® είναι μέρος της οικογένειας Lemon_Duck που εκτελείται με διπλό κλικ ή μέσω persistence μηχανισμών”, αναφέρουν οι ερευνητές της TrapX. “Αρχικά, το κακόβουλο πρόγραμμα σάρωσε το δίκτυο για πιθανούς στόχους, κυρίως εκείνους με ανοιχτές τις υπηρεσίες SMB (445) ή MSSQL (1433). Μόλις εντοπιζόταν ένας πιθανός στόχος, το cryptocurrency miner ξεκινούσε τη δουλειά του”.
Σύμφωνα με τους ειδικούς, οι επιθέσεις στις IoT συσκευές των τριών κατασκευαστών πιθανότατα αποτελούν μέρος της ίδιας hacking εκστρατείας. Οι επιτιθέμενοι μόλυναν τουλάχιστον 50 sites των εταιρειών στη Μέση Ανατολή, τη Βόρεια Αμερική και τη Λατινική Αμερική.
Οι επιτιθέμενοι χρησιμοποίησαν ένα downloader που εκτελεί κακόβουλα scripts που σχετίζονται με το cryptocurrency miner Lemon_Duck. Οι ερευνητές λένε ότι το συγκεκριμένο κακόβουλο λογισμικό εξαπλώνεται πολύ γρήγορα, γι΄αυτό θεωρείται “εξαιρετικά επικίνδυνο”.
“Για άλλη μια φορά, το σημείο εισόδου ήταν μια IoT συσκευή που έτρεχε Windows 7. Οι επιθέσεις προκάλεσαν σύγχυση στη διαδικασία παραγωγής, καταστρέφοντας τα ρομπότ AGV. Το κακόβουλο λογισμικό εξαπλώθηκε αρκετά γρήγορα”, ανέφεραν οι ερευνητές. “Το λογισμικό της TrapX παρείχε έγκαιρη ανίχνευση του cryptocurrency malware και επέτρεψε στην ομάδα ασφαλείας να αποσυνδέσει άμεσα τα μολυσμένα AGV από το δίκτυο”. Τα AGV οχήματα-ρομπότ ανήκουν στην IoT τεχνολογία και χρησιμοποιούνται συνήθως για τη μεταφορά υλικών σε εργοστάσια.
Τα Windows 7 έπαψαν να υποστηρίζονται από τη Microsoft περίπου ένα μήνα πριν. Ωστόσο, πολλοί χρήστες σε όλο τον κόσμο συνεχίζουν να τα χρησιμοποιούν, καθιστώντας ευάλωτες τις συσκευές τους. Οι κυβερνοεγκληματίες το γνωρίζουν αυτό και αναζητούν ευάλωτα IoT και άλλα συστήματα για να επιτεθούν.
Οι ειδικοί βρήκαν πολλά αυτοματοποιημένα οχήματα (AGV), που εκτελούσαν τα Windows 7, να είναι μολυσμένα με το cryptocurrency miner.
Επίσης, το cryptocurrency miner βρέθηκε στον εκτυπωτή DesignJet SD Pro της HP που έχει χρησιμοποιηθεί για την εκτύπωση σχεδίων που περιέχουν ευαίσθητα δεδομένα και σχετίζονται με τη διαδικασία παραγωγής του στόχου. Οι hackers μόλυναν τη συσκευή τους και απέκτησαν πρόσβαση στο δίκτυο του στόχου.
Τέλος, το κακόβουλο λογισμικό είχε εγκατασταθεί σε μια smart TV με ενσωματωμένο υπολογιστή που, επίσης, έτρεχε Windows 7.
Οι ειδικοί της TrapX εικάζουν ότι επρόκειτο για μια supply chain επίθεση και ότι το κακόβουλο λογισμικό εγκαταστάθηκε πρώτα στις ευάλωτες συσκευές και μετά επηρέασε τα sites των κατασκευαστών.
Περισσότερες λεπτομέρειες σχετικά με τη μόλυνση των IoT συσκευών υπάρχουν στην έκθεση που δημοσίευσε η TrapX.
