去年3月电信企业Lumen披露路由器恶意软件HiatusRAT,攻击者利用边缘设备收集流量、并将它们转为C2基础架构,去年6月传出黑客针对台湾与美国而来,如今出现范围更为广泛的新一波的攻击行动。
12月16日美国联邦调查局(FBI)发布警报,指出木马程序HiatusRAT自今年3月,锁定D-Link及中国品牌的视频摄像头及DVR设备弱点,在美国、澳洲、加拿大、新西兰、英国发动攻击。
针对攻击者利用的弱点,FBI提及了5个已知漏洞,包含:CVE-2017-7921、CVE-2018-9995、CVE-2020-25078、CVE-2021-33044、CVE-2021-36260,这些弱点存在于海康威视(Hikvision)、TBK Vision、D-Link、大华(Dahua)的联网设备,除CVE-2020-25078为高风险层级,其余漏洞皆为重大层级,其中的CVE-2018-9995、CVE-2021-33044、CVE-2021-36260的CVSS风险评分为9.8(满分10分),CVE-2017-7921更达到10分的程度。
值得留意的是,部分设备无法取得厂商提供的新版固件来缓解漏洞。其中,TBK Vision迄今并未修补CVE-2018-9995,而海康威视没有对所有受影响的型号修补CVE-2017-7921,再者,D-Link修补CVE-2020-25078的时候,有部分型号的设备生命周期已经结束(EOL),该公司并未提供对应的新版固件。
附带一提的是,FBI也提及厂商设置的弱密码可能遭到黑客利用的现象。
针对这波攻击行动的流程,黑客首先会借由Telnet连接试图访问海康威视及雄迈(Xiongmai)的设备,并使用名为Ingram的视频摄像头扫描工具来进行扫描,监控这类设备的活动。
接着,攻击者会利用暴力破解工具Medusa,通过Telnet连接锁定海康威视的视频摄像头,过程里会通过Telnet连接进行,并使用8种TCP连接端口。
