Wszystko zaczęło się od reklamacji. Na pierwszy rzut oka nie jest to rzecz niespotykana u dostawcy usług telekomunikacyjnych, abstrahując od kwestii przyczyny, czy winowajcy. Zawsze jednak warto przyjrzeć się dokładnie zgłoszeniu reklamacyjnemu, bowiem może się ono okazać poważnym incydentem bezpieczeństwa i dać nam możliwość przyjrzenia się nowemu wektorowi ataku cyberprzestępców.
Rachunek za usługi mobilne na kwotę 26 tysięcy złotych może postawić dęba włosy na głowie. A co dopiero, gdy karty SIM, których dotyczy rachunek, umieszczone są w... rejestratorach, zbierających informacje z kamer przemysłowych, albo przemysłowych routerach z bezprzewodowym dostępem do internetu. Zaatakowane urządzenia łączy to, iż korzystają z kart SIM do udostępniania dostępu do sieci lub komunikacji M2M (machine to machine).
W wyniku analizy przeprowadzonej przez CERT Orange Polska ustalono, iż:
Z każdego przejętego urządzenia na początku wysyłany był jeden SMS na numer w Izraelu. Kolejne wiadomości trafiały na poniższe numery:
Zidentyfikowane adresy, powiązane z infrastrukturą przestępców, tj.:
zostały zablokowane dla wszystkich użytkowników sieci Orange. Należy jednak zaznaczyć, iż atakujący korzystają z bardzo rozproszonej infrastruktury, co oznacza, iż liczba powiązanych z atakiem adresów IP jest większa (trwa analiza, kolejne adresy będą sukcesywnie blokowane).
Analizy wykazały, iż zaatakowano kilkudziesięciu klientów, liczba potencjalnych ofiar jest wielokrotnie wyższa, dlatego stanowczo zalecamy wprowadzenie w życie poniższych zaleceń.
Przede wszystkim, niezależnie od usługi i dostawcy, z którego korzystamy, bezwzględnie należy zadbać o bezpieczeństwo używanych przez nas urządzeń Internetu Rzeczy. W opisywanym przypadku CERT Orange Polska zaleca:
Z uwagi no to, iż wciąż obsługujemy opisany incydent, będziemy bardzo wdzięczni za wszelkie informacje (kontakt na adres cert.opl@orange.com, niezależnie od sieci, z której korzystacie), jeśli na swoim urządzeniu IoT odkryliście którekolwiek z indykatorów przejęcia, bądź uznajecie, że zachowuje się ono w sposób podejrzany, przypominający opisywany w tym materiale.
25 września 2023
Sprawdź uprawnienia aplikacji w swoim telefonie!19 września 2023
Remcos znika, Remcos wraca14 września 2023
Dzieci w (nie takiej) złej sieciZgłoś incydent