Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Podmienione binarki na stronie jednego z dostawców rozwiązań CCTV. Po instalacji wkracza ransomware.
Mandiant opisuje historię z obsługi ciekawego incydentu. Jeden z klientów pobrał oprogramowanie ze strony swojego dostawcy…:
Sometime in May 2021 or earlier, UNC2465 likely Trojanized two software install packages on a CCTV security camera provider website. Mandiant determined the installers were malicious in early June and notified the CCTV company of a potential website compromise, which may have allowed UNC2465 to replace legitimate downloads with the Trojanized ones.
UNC2465 to ekipa powiązana z grupą ransomware – Darkside. Mandiant wspomina, że prawdopodobnie atak nie odniósł masowego sukcesu (w sensie zainfekowanych ofiar), ale zaznacza możliwe kolejne duże źródło jeśli chodzi o metody dostawania się ransomware do firm. Rzeczywiście – często bezpieczeństwo serwisów webowych dostawców sprzętu nie stoi na najwyższym poziomie (delikatnie mówiąc).
–Michał Sajdak
O proszę SmartPSS, soft do kamer, które zainstalował sobie nasz prezydent Duda na swoim domku xD
Patrząc do czego oni wykorzystują prywatne skrzynki, ciekawe jak sa skonfigurowane te kamery i sieć xD
Niemożliwe, SmartPSS to przecież rządowa, firma z Państwa Środka:
Zhejiang Dahua Technology Co., Ltd. is a partially state-owned publicly traded company based in Binjiang District, Hangzhou
Świetnie, tyle, że mowa o stronie dostawcy CCTV a nie o stronie producenta.
Ale to koledzy musieliby przeczytać linkowany artykuł a do tego zrozumieć treść. Nie wymagasz Jacku zbyt wiele? :)
Nie no spoko, że nie u producenta, a od dystrybutora. Tylko problem jest taki, że instalatorzy ściagają ten soft właśnie od dystrybutora, a nie ze strony producenta. Bo na stronie producenta tego nie ma :P Żeby to pobrać musisz instalować jakieś configtoole gdzie musisz założyć konto, do tego ten super soft musi sie połączyć z netem i z ich serwerem i wtedy możesz pobrać. Więc na 90% instalacji, gdzie nie masz dostępu do neta na serwerze do monitoringu (albo, nie można się zalogować, bo firewall wycina ruch do chin czy gdzie to gunwo sie łączy) i prostu przynoszą soft na pendrive, pobrany ze strony dystrybutora :P
Pozostaje pytanie. Jak chronić się przed tego typu zagrożeniami?
Np. wykonać separacje sieci ( osobna sieć dla monitoringu) – takie najbardziej proste z mozliwych działań poza wyłączeniem aktualizacji i podpinaniem kamer do neta ? :)
Może sprawdzać podpis(hash pliku) przed instalacją i nie instalować czego popadnie?
Swoją drogą takie rzeczy się zdarzają – wspomnieć wypada o podmienionych binarkach ccleanera i to nie u jakiegoś poddostawcy tylko na oficjalnej stronie producenta.
>Może sprawdzać podpis(hash pliku) przed instalacją i nie instalować czego popadnie?
I sam go sobie wygenerujesz? Bo producent nie będzie się tym zajmował. Generalnie przecież programy do kamer są robione „byle było coś widać”.
A skąd wiadomo że hash nie jest podmieniony?
A tys gdzieś widział hasha pliku na stronie producenta/dostawcy? Mało który ftp/web to posiada. Pozattm jak podmienili binaeke to wpis hasha też podmienią ot i cała robota w piach
Wyobraź sobie podmianę pliku BIOSU który ma ok 10 MB co tam można ukryć. Ściągasz sobie bios ze strony producenta a tam …