L’FBI ha emesso un Private Industry Notification (PIN) per avvisare delle nuove campagne di attacco del malware HiatusRAT, un trojan ad accesso remoto (RAT) che sfrutta vulnerabilità note in dispositivi IoT come telecamere web e DVR. L’obiettivo principale di questa campagna è l’infiltrazione di dispositivi con firmware non aggiornato o protetti da password deboli, esponendo utenti e organizzazioni a rischi di sicurezza significativi.
La minaccia HiatusRAT e le vulnerabilità sfruttate
HiatusRAT è attivo dal 2022 e viene utilizzato da attori malevoli per il controllo remoto dei dispositivi colpiti. Dopo aver originariamente preso di mira router di rete obsoleti, il malware ha ora spostato l’attenzione su dispositivi IoT, inclusi telecamere web e DVR. Nel corso del 2024, i criminali hanno lanciato una campagna di scansione mirata nei paesi anglofoni come Stati Uniti, Canada, Regno Unito, Australia e Nuova Zelanda.
Le vulnerabilità sfruttate includono:
- CVE-2017-7921: autenticazione inadeguata nei dispositivi Hikvision, consentendo agli attori di ottenere privilegi elevati.
- CVE-2018-9995: bypass delle credenziali di accesso in DVR TBK e dispositivi rebranded.
- CVE-2020-25078: esposizione delle password amministrative nei dispositivi D-Link.
- CVE-2021-36260: vulnerabilità di iniezione comandi nei dispositivi Hikvision che consente agli attori di eseguire codice malevolo.
Molti dei dispositivi vulnerabili non hanno ricevuto aggiornamenti o sono stati abbandonati dai produttori, rendendoli bersagli ideali per questa campagna. L’FBI ha anche identificato l’uso di strumenti open-source come Ingram, per la scansione delle telecamere, e Medusa, per attacchi di forza bruta contro credenziali Telnet.
Raccomandazioni per la mitigazione dei rischi
Per proteggersi da questa minaccia, l’FBI consiglia di adottare misure immediate, tra cui:
- Aggiornare il firmware dei dispositivi IoT con patch di sicurezza fornite dai produttori.
- Sostituire dispositivi obsoleti che non ricevono più aggiornamenti.
- Cambiare password predefinite e implementare password robuste e univoche.
- Monitorare la rete per attività sospette o connessioni non autorizzate.
- Segmentare la rete per isolare i dispositivi IoT dal resto dell’infrastruttura aziendale.
Gli utenti devono inoltre eseguire scansioni regolari della rete per identificare porte aperte e vulnerabili, chiudendo quelle non necessarie. È essenziale implementare autenticazione a più fattori (MFA) per proteggere ulteriormente l’accesso ai dispositivi critici.
La campagna HiatusRAT dimostra la crescente attenzione dei cybercriminali verso dispositivi IoT vulnerabili, come telecamere e DVR. È fondamentale aggiornare i dispositivi, implementare password robuste e monitorare costantemente l’infrastruttura per mitigare i rischi. L’FBI invita le organizzazioni a segnalare eventuali compromissioni all’Internet Crime Complaint Center (IC3.gov) o all’ufficio locale dell’FBI.
