Microsoft diz que hackers russos exploraram aparelhos IoT em ataques

O grupo hacker Strontium, que já foi fortemente relacionado por pesquisadores de segurança à agência russa militar de inteligência GRU, foi responsável por um ataque baseado em Internet das Coisas contra clientes da Microsoft não revelados, de acordo com informações da empresa de Redmond, que publicou um post sobre o assunto em seu blog nesta semana.

No texto em questão, a Microsoft aponta que o ataque, descoberto em abril, teve como três aparelhos IoT específicos – um telefone VoIP, um decoder de vídeo e uma impressora (a companhia, no entanto, não revelou as marcas dos dispositivos) – e os usou para ganhar acesso a redes corporativas não especificadas. Dois dos aparelhos foram comprometidos porque ninguém tinha alterado a senha padrão do fabricante, enquanto que o outro produto não contava com o patch de segurança mais recente.

Os aparelhos comprometidos desta maneira atuaram como back doors para redes protegidas, permitindo que os invasores escaneassem livremente essas redes em busca de mais vulnerabilidades, para acessar sistemas adicionais, e para conseguir mais e mais informações.

Os invasores também foram vistos investigando grupos administrativos em redes comprometidas, em uma tentativa de ganhar ainda mais acesso, assim como analisar tráfego da sub-rede local para dados adicionais.

O Strontium, que também já foi chamado de Fancy Bear, Pawn Storm, Sofacy e APT28, é apontado como o grupo por trás de ciberatividades maliciosas realizadas em nome do governo russo, incluindo o hack contra o Comitê Nacional Democrata nos EUA em 2016, entre outros.

A Microsoft notifica os clientes que descobre que foram atacados por estados-nação e entregou cerca de 1.400 notificações relacionadas ao Strontium nos últimos 12 meses. A maioria delas – quatro em cada cinco – foram para organizações no governo, militar, defesa, TI, medicina, educação e setores de engenharia, enquanto que o restante eram ONGs, think-tanks e outras “organizações politicamente afiliadas”, aponta a Microsoft.

O coração da vulnerabilidade, de acordo com a equipe da Microsoft, foi uma falta de consciência por parte das organizações de todos os aparelhos rodando em suas redes. Eles recomendaram, entre outras coisas, catalogar todos os dispositivos IoT rodando em um ambiente corporativo, implementar políticas customizadas de segurança para cada aparelho, e realizar auditorias regulares de patch e configuração em gadgets IoT.