Специалисты Microsoft Threat Intelligence Center предупредили об изменениях в «почерке» известной русскоязычной хак-группы APT28 (она же Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit и Tsar Team). Хакеры все чаще компрометируют устройства интернета вещей (будь то VoIP-телефоны, принтеры или другие IoT-девайсы), чтобы проникнуть в корпоративную сеть и там переключиться на другие, более значимые цели.
Аналитики Microsoft пишут, что APT28 начала применять такую тактику в апреле текущего года, и специалистам удалось зафиксировать уже как минимум три таких прецедента. В двух случаях на взломанных IoT-устройствах не сменили пароли по умолчанию, а в третьем случае на девайс не было установлено обновление безопасности.
Сообщается, что скомпрометированные устройства интернета вещей использовались хакерам в качестве «точки опоры» в целевых сетях, то есть после их взлома злоумышленники искали другие уязвимые системы и способы развить атаку дальше. Так, исследователи пишут, что получив доступ к IoT-девайсам, хакеры запускали tcpdump для отслеживания трафика, а также интересовались административными группами.
Подробнее об этих атаках эксперты планируют рассказать на конференции Black Hat, которая стартует на этой неделе.
