Этот показательный случай кибератаки группы Akira, вероятно, ещё долго будет упоминаться экспертами по информационной безопасности. Злоумышленникам удалось зашифровать данные компании, проникнув в систему через камеру видеонаблюдения. Хотя подобный вектор атаки кажется неочевидным, цепочка событий демонстрирует универсальные принципы, применимые к защите различных устройств корпоративной инфраструктуры.
Детали компрометации
Вредоносная группа получила доступ к сети, воспользовавшись уязвимостью в открытом веб-приложении, что позволило выполнять произвольные команды на заражённом устройстве. Атакующие установили программу удалённого контроля AnyDesk, а затем через RDP-соединение вышли на файловый сервер компании. Попытка запустить шифровальщик была заблокирована EDR-решением, однако это не остановило злоумышленников.
После неудачи с серверами и рабочими станциями, защищёнными EDR, преступники просканировали локальную сеть и обнаружили камеру наблюдения. В отчёте инцидента устройство обозначено как webcam, однако контекст указывает на самостоятельное сетевое оборудование для видеомониторинга, а не периферийную камеру компьютера.
Видеокамера стала идеальной мишенью по трём причинам:
- устаревшая прошивка содержала критические бреши безопасности для получения контроля через удалённую оболочку;
- устройство работало на упрощённой версии Linux, позволявшей запускать стандартные исполняемые файлы, включая Linux-версию шифровальщика Akira;
- специализированное оборудование не поддерживало установку агентов EDR и других защитных механизмов для выявления вредоносных действий.
Используя скомпрометированную камеру, злоумышленники успешно зашифровали данные на корпоративных серверах.
Меры защиты
Данный случай иллюстрирует фундаментальные принципы кибербезопасности и предлагает эффективные методы защиты. Расположим рекомендации по возрастанию сложности внедрения:
- жёстко ограничивайте сетевые права устройств IoT. Основной проблемой стало наличие у камеры расширенных привилегий к файловым хранилищам. Подобное оборудование следует размещать в изолированных сегментах сети либо минимизировать его взаимодействие с другими узлами. Например, разрешить доступ только к конкретной папке с видеоархивом для определённых сотрудников;
- деактивируйте неиспользуемые сервисы на умных устройствах, удалите стандартные профили и обязательно смените заводские пароли;
- установите EDR-решения на все серверы, рабочие станции и совместимые устройства. Критически важно, чтобы система детектировала подозрительные действия, например массовое шифрование через SMB-протокол;
- включайте IoT-оборудование в систему управления уязвимостями и обновлениями, предварительно создав точный реестр таких устройств;
- организуйте сбор телеметрии с сетевых устройств (роутеров, принтеров, камер) в SIEM-систему, если установка EDR невозможна;
- рассмотрите внедрение платформ класса XDR, интегрирующих мониторинг сети, анализ аномалий и автоматизированное реагирование.