2min

Volgens het Threat Intelligence Center van Microsoft gebruikt een door de Russische staat gesponsorde hackersgroep gehackte IoT-devices om binnen te dringen bij enterprise-netwerken. Vanuit daar richten ze hun pijlen op meer waardevolle doelwitten.

De aanvallen worden uitgevoerd door een groep die het Threat Intelligence Center Strontium noemt, schrijft ZDNet. Deze groep staat beter bekend als APT28 of Fancy Bear. Deze laatste groep was onder meer verantwoordelijk voor de hack op de Amerikaanse Democratische partij in 2016.

Werknemers van Microsoft ontdekte in april dit jaar dat Strontium probeerde om “populaire IoT-apparaten te compromitteren op meerdere klantlocaties”. Zo probeerde de groep een VoIP-telefoon, een printer op kantoor en een video-decoder te exploiteren.

“Het onderzoek bracht naar voren dat iemand deze apparaten had gebruikt om toegang te krijgen tot zakelijke netwerken. In twee van de gevallen waren de standaard wachtwoorden van de fabrikant voor de apparaten niet aangepast, en in een derde geval was de laatste beveiligingsupdate voor het apparaat niet ingezet.”

Verdere aanval

De hackers gebruikten de aangevallen IoT-devices als een toegangspunt voor de interne netwerken van hun doelwit. Daarna scanden ze voor andere kwetsbare systemen, om hun aanwezigheid te vergroten.

“Terwijl de hackers van het ene apparaat naar het andere verhuisden, lieten ze een simpel shell-script achter om de persistentie op het netwerk te vestigen, waardoor het mogelijk was om langer aanwezig te blijven om te blijven jagen”, aldus Microsoft.

Het bedrijf zegt dat het de aanvallen in een vroeg stadium ontdekte en blokkeerde. De onderzoekers konden daardoor niet vaststellen wat Strontium probeerde te stelen van de gecompromitteerde netwerken.

Eerdere aanvallen

Strontium is in het verleden al vaker achter IoT-devices aan gegaan. In het verleden maakte de groep bijvoorbeeld een botnet van tienduizenden routers via de VPNFilter-malware.

Microsoft is van plan om deze week meer informatie over de aanvallen van Strontium in april bekend te maken. Dit doet het bedrijf tijdens de beveiligingsconferentie Black Hat USA 2019 in Las Vegas.