hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
31 października 2018

Kamera nabija rachunek za SMSy

Wszystko zaczęło się od reklamacji. Na pierwszy rzut oka nie jest to rzecz niespotykana u dostawcy usług telekomunikacyjnych, abstrahując od kwestii przyczyny, czy winowajcy. Zawsze jednak warto przyjrzeć się dokładnie zgłoszeniu reklamacyjnemu, bowiem może się ono okazać poważnym incydentem bezpieczeństwa i dać nam możliwość przyjrzenia się nowemu wektorowi ataku cyberprzestępców.

Kamera wysyła SMSy, modem nabija rachunki

Rachunek za usługi mobilne na kwotę 26 tysięcy złotych może postawić dęba włosy na głowie. A co dopiero, gdy karty SIM, których dotyczy rachunek, umieszczone są w… rejestratorach, zbierających informacje z kamer przemysłowych, albo przemysłowych routerach z bezprzewodowym dostępem do internetu. Zaatakowane urządzenia łączy to, iż korzystają z kart SIM do udostępniania dostępu do sieci lub komunikacji M2M (machine to machine).

W wyniku analizy przeprowadzonej przez CERT Orange Polska ustalono, iż:

  • atak dotyczył urządzeń o stałym adresie IP, korzystających z usługi VPN Static
  • wśród przejętych urządzeń znalazły się:
  • przestępcy dostawali się na urządzenia ofiar w jeden z poniższych sposobów:
    • wykorzystując niezmienione domyślne login i hasło
    • za pośrednictwem potwierdzonej dla modemu DWR-921 podatności Directory Traversal pozwalającej na pobranie z urządzenia pliku konfiguracyjnego zawierającego hasło w postaci niezaszyfrowanej
  • po przejęciu kontroli nad urządzeniem przestępcy wykorzystywali je do wysyłania SMSów na numery zagraniczne, czerpiąc zarobek z terminowania ruchu SMS

Indicators of Compromise (IOC)

Z każdego przejętego urządzenia na początku wysyłany był jeden SMS na numer w Izraelu. Kolejne wiadomości trafiały na poniższe numery:

  • 352xxx (Luksemburg)
  • 370xxx (Litwa)
  • 44xxx (Wlk. Brytania)
  • 79xxx (Rosja)
  • 79xxx (Rosja)
  • 79xxx (Rosja)

Zidentyfikowane adresy, powiązane z infrastrukturą przestępców, tj.:

  • 104.248.169.167
  • 116.31.116.43
  • 85.114.97.14

zostały zablokowane dla wszystkich użytkowników sieci Orange. Należy jednak zaznaczyć, iż atakujący korzystają z bardzo rozproszonej infrastruktury, co oznacza, iż liczba powiązanych z atakiem adresów IP jest większa (trwa analiza, kolejne adresy będą sukcesywnie blokowane).

Analizy wykazały, iż zaatakowano kilkudziesięciu klientów, liczba potencjalnych ofiar jest wielokrotnie wyższa, dlatego stanowczo zalecamy wprowadzenie w życie poniższych zaleceń.

Co zrobić, by nie paść ofiarą ataku?

Przede wszystkim, niezależnie od usługi i dostawcy, z którego korzystamy, bezwzględnie należy zadbać o bezpieczeństwo używanych przez nas urządzeń Internetu Rzeczy. W opisywanym przypadku CERT Orange Polska zaleca:

  • zaktualizować oprogramowanie urządzeń, w których używamy kart SIM
    • w przypadku routera DWR-921 nie jest to możliwe, bowiem nie jest on wspierany przez producenta (status End Of Life) i firma oficjalnie potwierdziła, iż nie otrzyma on łaty bezpieczeństwa; w tej sytuacji jeśli chcemy zachować bezpieczeństwo, zalecana jest wymiana urządzenia
  • zmienić domyślne hasło dostępu do urządzenia oraz (jeśli to możliwe) login
  • jeśli potrzebujemy połączenia z internetu z urządzeniami z naszej sieci (nie tylko z tymi, których dotyczy opisywany przypadek), łączmy się jedynie przy użyciu tunelu VPN
  • zlecić wyłączenie połączeń głosowych i SMS na posiadanej karcie (pozostawić wyłącznie transmisję danych)

Z uwagi no to, iż wciąż obsługujemy opisany incydent, będziemy bardzo wdzięczni za wszelkie informacje (kontakt na adres cert.opl@orange.com, niezależnie od sieci, z której korzystacie), jeśli na swoim urządzeniu IoT odkryliście którekolwiek z indykatorów przejęcia, bądź uznajecie, że zachowuje się ono w sposób podejrzany, przypominający opisywany w tym materiale.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

2 kwietnia 2025
Nowe oszustwo na fałszywy sklep? To dlaczego paczka dotarła?
Dowiedz się więcej
28 marca 2025
Żądanie zaprzestania naruszenia praw autorskich? Nie, phishing.
Dowiedz się więcej
20 marca 2025
Celebryci w sieci oszustw: Facebook obiecuje, scamerzy zarabiają
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance