微軟威脅情報中心在今年4月間發現俄羅斯國家贊助的駭客組織,正在利用印表機、VoIP電話等企業物聯網(IoT)裝置,伺機對企業網路發動攻擊。示意圖,圖片來源:https://pxhere.com/en/photo/1382743

微軟指出,俄羅斯國家贊助的駭客組織,正在利用印表機、VoIP電話等企業物聯網(IoT)裝置,伺機對企業網路發動攻擊。

微軟威脅情報中心(Microsoft Threat Intelligence Center)研究人員4月間發現三起攻擊行動,駭客正連上多台VoIP電話、辦公室印表機及影片解碼裝置,分析後發現攻擊者企圖利用這些裝置駭入企業網路。其中兩次攻擊是利用IoT 裝置的預設密碼,另外一次則是因為裝置韌體未升級到最新版本,而讓駭客有機可乘。

研究人員認為,入侵這些IoT裝置的目的,是在企業網路上建立據點,作為未來攻擊的準備。駭客成功入侵IoT裝置後,就會跑tcpdump軟體來聽取公司子網路的網路流量封包。攻擊者還會列舉管理群組,以便未來發動進一步攻擊。當攻擊者由一台裝置移動到另一台時,會丟一個簡單的shell script,以便日後持續由遠端控制。研究人員還發現這些裝置會和外部一台C&C伺服器建立連線。

由於三起攻擊都是在很早期被發現,因此微軟尚無法判斷最終的目標為何。但微軟判斷這三起攻擊來自同一個名為Strontium的駭客組織所為。它更為知名的稱號是Fancy Bear或APT 28。微軟在過去一年,就發出將近1,400次和這個組織有關的國家級駭客攻擊行動警報,其中1/5目標是全球非政府組織、智庫或政治團體,80%攻擊對象包括政府、IT業、軍事、國防、醫療、教育和製造業。

這不是第一次俄羅斯人被指控心懷不軌。2016年美國就指控Fancy Bear參與攻擊民主黨全國委員大會伺服器,以竊取當年總統大選的研究資料。它還曾經攻擊過奧林匹克委員會、世界反禁藥組織(WADA)及觀光業。此外,Strontium/Fancy Bear/APT 28去年涉入以VPN Filter惡意程式,大規模感染Linksys、TP-Link華碩、D-Link等路由器的行動。


Advertisement

更多 iThome相關內容