Wszystko zaczęło się od reklamacji. Na pierwszy rzut oka nie jest to rzecz niespotykana u dostawcy usług telekomunikacyjnych, abstrahując od kwestii przyczyny, czy winowajcy. Zawsze jednak warto przyjrzeć się dokładnie zgłoszeniu reklamacyjnemu, bowiem może się ono okazać poważnym incydentem bezpieczeństwa i dać nam możliwość przyjrzenia się nowemu wektorowi ataku cyberprzestępców.

Kamera wysyła SMSy, modem nabija rachunki

Rachunek za usługi mobilne na kwotę 26 tysięcy złotych może postawić dęba włosy na głowie. A co dopiero, gdy karty SIM, których dotyczy rachunek, umieszczone są w... rejestratorach, zbierających informacje z kamer przemysłowych, albo przemysłowych routerach z bezprzewodowym dostępem do internetu. Zaatakowane urządzenia łączy to, iż korzystają z kart SIM do udostępniania dostępu do sieci lub komunikacji M2M (machine to machine).

W wyniku analizy przeprowadzonej przez CERT Orange Polska ustalono, iż:

• atak dotyczył urządzeń o stałym adresie IP, korzystających z usługi VPN Static
• wśród przejętych urządzeń znalazły się:
  • znaczna liczba routerów mobilnych Dlink DWR-921
  • routery przemysłowe Teltonika  RUT240
  • urządzenia CCTV Dahua
  • modemy Digi
• przestępcy dostawali się na urządzenia ofiar w jeden z poniższych sposobów:
  • wykorzystując niezmienione domyślne login i hasło
  • za pośrednictwem potwierdzonej dla modemu DWR-921 podatności Directory Traversal pozwalającej na pobranie z urządzenia pliku konfiguracyjnego zawierającego hasło w postaci niezaszyfrowanej
• po przejęciu kontroli nad urządzeniem przestępcy wykorzystywali je do wysyłania SMSów na numery zagraniczne, czerpiąc zarobek z terminowania ruchu SMS

Indicators of Compromise (IOC)

Z każdego przejętego urządzenia na początku wysyłany był jeden SMS na numer w Izraelu. Kolejne wiadomości trafiały na poniższe numery:

• 352xxx (Luksemburg)
• 370xxx (Litwa)
• 44xxx (Wlk. Brytania)
• 79xxx (Rosja)
• 79xxx (Rosja)
• 79xxx (Rosja)

Zidentyfikowane adresy, powiązane z infrastrukturą przestępców, tj.:

• 104.248.169.167
• 116.31.116.43
• 85.114.97.14

zostały zablokowane dla wszystkich użytkowników sieci Orange. Należy jednak zaznaczyć, iż atakujący korzystają z bardzo rozproszonej infrastruktury, co oznacza, iż liczba powiązanych z atakiem adresów IP jest większa (trwa analiza, kolejne adresy będą sukcesywnie blokowane).

Analizy wykazały, iż zaatakowano kilkudziesięciu klientów, liczba potencjalnych ofiar jest wielokrotnie wyższa, dlatego stanowczo zalecamy wprowadzenie w życie poniższych zaleceń.

Co zrobić, by nie paść ofiarą ataku?

Przede wszystkim, niezależnie od usługi i dostawcy, z którego korzystamy, bezwzględnie należy zadbać o bezpieczeństwo używanych przez nas urządzeń Internetu Rzeczy. W opisywanym przypadku CERT Orange Polska zaleca:

• zaktualizować oprogramowanie urządzeń, w których używamy kart SIM
  • w przypadku routera DWR-921 nie jest to możliwe, bowiem nie jest on wspierany przez producenta (status End Of Life) i firma oficjalnie potwierdziła, iż nie otrzyma on łaty bezpieczeństwa; w tej sytuacji jeśli chcemy zachować bezpieczeństwo, zalecana jest wymiana urządzenia
• zmienić domyślne hasło dostępu do urządzenia oraz (jeśli to możliwe) login
• jeśli potrzebujemy połączenia z internetu z urządzeniami z naszej sieci (nie tylko z tymi, których dotyczy opisywany przypadek), łączmy się jedynie przy użyciu tunelu VPN
• zlecić wyłączenie połączeń głosowych i SMS na posiadanej karcie (pozostawić wyłącznie transmisję danych)

Z uwagi no to, iż wciąż obsługujemy opisany incydent, będziemy bardzo wdzięczni za wszelkie informacje (kontakt na adres cert.opl@orange.com, niezależnie od sieci, z której korzystacie), jeśli na swoim urządzeniu IoT odkryliście którekolwiek z indykatorów przejęcia, bądź uznajecie, że zachowuje się ono w sposób podejrzany, przypominający opisywany w tym materiale.

Podziel się: