微软指出,俄罗斯国家赞助的黑客组织,正在利用打印机、VoIP电话等企业物联网(IoT)设备,伺机对企业网络发动攻击。
微软威胁情报中心(Microsoft Threat Intelligence Center)研究人员4月间发现三起攻击行动,黑客正连上多台VoIP电话、办公室打印机及视频解码设备,分析后发现攻击者企图利用这些设备黑入企业网络。其中两次攻击是利用IoT设备的默认密码,另外一次则是因为设备固件未升级到最新版本,而让黑客有机可乘。
研究人员认为,入侵这些IoT设备的目的,是在企业网络上创建据点,作为未来攻击的准备。黑客成功入侵IoT设备后,就会跑tcpdump软件来听取公司子网络的网络流量封包。攻击者还会枚举管理群组,以便未来发动进一步攻击。当攻击者由一台设备移动到另一台时,会丢一个简单的shell script,以便日后持续由远程控制。研究人员还发现这些设备会和外部一台C&C服务器创建连接。
由于三起攻击都是在很早期被发现,因此微软尚无法判断最终的目标为何。但微软判断这三起攻击来自同一个名为Strontium的黑客组织所为。它更为知名的称号是Fancy Bear或APT 28。微软在过去一年,就发出将近1,400次和这个组织有关的国家级黑客攻击行动警报,其中1/5目标是全球非政府组织、智库或政治团体,80%攻击对象包括政府、IT业、军事、国防、医疗、教育和制造业。
这不是第一次俄罗斯人被指控心怀不轨。2016年美国就指控Fancy Bear参与攻击民主党全国委员大会服务器,以窃取当年总统大选的研究数据。它还曾经攻击过奥林匹克委员会、世界反禁药组织(WADA)及观光业。此外,Strontium/Fancy Bear/APT 28去年涉入以VPN Filter恶意程序,大规模感染Linksys、TP-Link、华硕、D-Link等路由器的行动。