Zaloguj się do usług
bezpieczeństwa
31 października 2018
Kamera nabija rachunek za SMSy

Wszystko zaczęło się od reklamacji. Na pierwszy rzut oka nie jest to rzecz niespotykana u dostawcy usług telekomunikacyjnych, abstrahując od kwestii przyczyny, czy winowajcy. Zawsze jednak warto przyjrzeć się dokładnie zgłoszeniu reklamacyjnemu, bowiem może się ono okazać poważnym incydentem bezpieczeństwa i dać nam możliwość przyjrzenia się nowemu wektorowi ataku cyberprzestępców.

Kamera wysyła SMSy, modem nabija rachunki

Rachunek za usługi mobilne na kwotę 26 tysięcy złotych może postawić dęba włosy na głowie. A co dopiero, gdy karty SIM, których dotyczy rachunek, umieszczone są w... rejestratorach, zbierających informacje z kamer przemysłowych, albo przemysłowych routerach z bezprzewodowym dostępem do internetu. Zaatakowane urządzenia łączy to, iż korzystają z kart SIM do udostępniania dostępu do sieci lub komunikacji M2M (machine to machine).

W wyniku analizy przeprowadzonej przez CERT Orange Polska ustalono, iż:

  • atak dotyczył urządzeń o stałym adresie IP, korzystających z usługi VPN Static
  • wśród przejętych urządzeń znalazły się:
  • przestępcy dostawali się na urządzenia ofiar w jeden z poniższych sposobów:
    • wykorzystując niezmienione domyślne login i hasło
    • za pośrednictwem potwierdzonej dla modemu DWR-921 podatności Directory Traversal pozwalającej na pobranie z urządzenia pliku konfiguracyjnego zawierającego hasło w postaci niezaszyfrowanej
  • po przejęciu kontroli nad urządzeniem przestępcy wykorzystywali je do wysyłania SMSów na numery zagraniczne, czerpiąc zarobek z terminowania ruchu SMS

Indicators of Compromise (IOC)

Z każdego przejętego urządzenia na początku wysyłany był jeden SMS na numer w Izraelu. Kolejne wiadomości trafiały na poniższe numery:

  • 352xxx (Luksemburg)
  • 370xxx (Litwa)
  • 44xxx (Wlk. Brytania)
  • 79xxx (Rosja)
  • 79xxx (Rosja)
  • 79xxx (Rosja)

Zidentyfikowane adresy, powiązane z infrastrukturą przestępców, tj.:

  • 104.248.169.167
  • 116.31.116.43
  • 85.114.97.14

zostały zablokowane dla wszystkich użytkowników sieci Orange. Należy jednak zaznaczyć, iż atakujący korzystają z bardzo rozproszonej infrastruktury, co oznacza, iż liczba powiązanych z atakiem adresów IP jest większa (trwa analiza, kolejne adresy będą sukcesywnie blokowane).

Analizy wykazały, iż zaatakowano kilkudziesięciu klientów, liczba potencjalnych ofiar jest wielokrotnie wyższa, dlatego stanowczo zalecamy wprowadzenie w życie poniższych zaleceń.

Co zrobić, by nie paść ofiarą ataku?

Przede wszystkim, niezależnie od usługi i dostawcy, z którego korzystamy, bezwzględnie należy zadbać o bezpieczeństwo używanych przez nas urządzeń Internetu Rzeczy. W opisywanym przypadku CERT Orange Polska zaleca:

  • zaktualizować oprogramowanie urządzeń, w których używamy kart SIM
    • w przypadku routera DWR-921 nie jest to możliwe, bowiem nie jest on wspierany przez producenta (status End Of Life) i firma oficjalnie potwierdziła, iż nie otrzyma on łaty bezpieczeństwa; w tej sytuacji jeśli chcemy zachować bezpieczeństwo, zalecana jest wymiana urządzenia
  • zmienić domyślne hasło dostępu do urządzenia oraz (jeśli to możliwe) login
  • jeśli potrzebujemy połączenia z internetu z urządzeniami z naszej sieci (nie tylko z tymi, których dotyczy opisywany przypadek), łączmy się jedynie przy użyciu tunelu VPN
  • zlecić wyłączenie połączeń głosowych i SMS na posiadanej karcie (pozostawić wyłącznie transmisję danych)

Z uwagi no to, iż wciąż obsługujemy opisany incydent, będziemy bardzo wdzięczni za wszelkie informacje (kontakt na adres cert.opl@orange.com, niezależnie od sieci, z której korzystacie), jeśli na swoim urządzeniu IoT odkryliście którekolwiek z indykatorów przejęcia, bądź uznajecie, że zachowuje się ono w sposób podejrzany, przypominający opisywany w tym materiale.


Ostatnie aktualności

Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl