-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Podmienione binarki na stronie jednego z dostawców rozwiązań CCTV. Po instalacji wkracza ransomware.

17 czerwca 2021, 09:37 | W biegu | komentarzy 12

Mandiant opisuje historię z obsługi ciekawego incydentu. Jeden z klientów pobrał oprogramowanie ze strony swojego dostawcy…:

Sometime in May 2021 or earlier, UNC2465 likely Trojanized two software install packages on a CCTV security camera provider website. Mandiant determined the installers were malicious in early June and notified the CCTV company of a potential website compromise, which may have allowed UNC2465 to replace legitimate downloads with the Trojanized ones.

UNC2465 to ekipa powiązana z grupą ransomware – Darkside. Mandiant wspomina, że prawdopodobnie atak nie odniósł masowego sukcesu (w sensie zainfekowanych ofiar), ale zaznacza możliwe kolejne duże źródło jeśli chodzi o metody dostawania się ransomware do firm. Rzeczywiście – często bezpieczeństwo serwisów webowych dostawców sprzętu nie stoi na najwyższym poziomie (delikatnie mówiąc).

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Zbyszko

    O proszę SmartPSS, soft do kamer, które zainstalował sobie nasz prezydent Duda na swoim domku xD
    Patrząc do czego oni wykorzystują prywatne skrzynki, ciekawe jak sa skonfigurowane te kamery i sieć xD

    Odpowiedz
    • Andrzej

      Niemożliwe, SmartPSS to przecież rządowa, firma z Państwa Środka:

      Zhejiang Dahua Technology Co., Ltd. is a partially state-owned publicly traded company based in Binjiang District, Hangzhou

      Odpowiedz
      • Jacek

        Świetnie, tyle, że mowa o stronie dostawcy CCTV a nie o stronie producenta.

        Odpowiedz
        • Bogdan

          Ale to koledzy musieliby przeczytać linkowany artykuł a do tego zrozumieć treść. Nie wymagasz Jacku zbyt wiele? :)

          Odpowiedz
        • Zbyszko

          Nie no spoko, że nie u producenta, a od dystrybutora. Tylko problem jest taki, że instalatorzy ściagają ten soft właśnie od dystrybutora, a nie ze strony producenta. Bo na stronie producenta tego nie ma :P Żeby to pobrać musisz instalować jakieś configtoole gdzie musisz założyć konto, do tego ten super soft musi sie połączyć z netem i z ich serwerem i wtedy możesz pobrać. Więc na 90% instalacji, gdzie nie masz dostępu do neta na serwerze do monitoringu (albo, nie można się zalogować, bo firewall wycina ruch do chin czy gdzie to gunwo sie łączy) i prostu przynoszą soft na pendrive, pobrany ze strony dystrybutora :P

          Odpowiedz
  2. P

    Pozostaje pytanie. Jak chronić się przed tego typu zagrożeniami?

    Odpowiedz
    • maks

      Np. wykonać separacje sieci ( osobna sieć dla monitoringu) – takie najbardziej proste z mozliwych działań poza wyłączeniem aktualizacji i podpinaniem kamer do neta ? :)

      Odpowiedz
    • Wojtek

      Może sprawdzać podpis(hash pliku) przed instalacją i nie instalować czego popadnie?
      Swoją drogą takie rzeczy się zdarzają – wspomnieć wypada o podmienionych binarkach ccleanera i to nie u jakiegoś poddostawcy tylko na oficjalnej stronie producenta.

      Odpowiedz
      • M.

        >Może sprawdzać podpis(hash pliku) przed instalacją i nie instalować czego popadnie?

        I sam go sobie wygenerujesz? Bo producent nie będzie się tym zajmował. Generalnie przecież programy do kamer są robione „byle było coś widać”.

        Odpowiedz
      • mietek

        A skąd wiadomo że hash nie jest podmieniony?

        Odpowiedz
        • Jacek

          A tys gdzieś widział hasha pliku na stronie producenta/dostawcy? Mało który ftp/web to posiada. Pozattm jak podmienili binaeke to wpis hasha też podmienią ot i cała robota w piach

          Odpowiedz
  3. user1

    Wyobraź sobie podmianę pliku BIOSU który ma ok 10 MB co tam można ukryć. Ściągasz sobie bios ze strony producenta a tam …

    Odpowiedz

Odpowiedz