Le credenziali di amministratore esposte online hanno permesso a un collettivo hacker di prendere il controllo delle telecamere di video sorveglianza di decine di aziende e istituzioni.
Un gruppo di cyber criminali ha rivendicato online la
violazione di circa 150.000 telecamere di sorveglianza all'interno di ospedali, aziende, dipartimenti di polizia, carceri e scuole. Fra le vittime spiccano Tesla, Equinox, Bank of Utah, Clouflare. Alcune immagini delle registrazioni sono finite in rete, a dimostrazione della riuscita dell'operazione.
Le telecamere violate erano tutte prodotte da Verkada, startup specializzata nella realizzazione di sistemi di sicurezza aziendali e telecamere di videosorveglianza. Stando a quanto riferito da Bloomberg, la violazione dei dati sarebbe opera di un collettivo internazionale di hacker che ha lo scopo di
mostrare la pervasività della videosorveglianza e la facilità con cui i sistemi potrebbero essere violati.
In effetti, se quanto riferito dalla fonte è vero, l'attacco non è stato per nulla complicato. Uno degli attaccanti, che si fa chiamare con il soprannome Tillie Kottmann, narra di avere trovato le credenziali hardcoded di un
account di super admin di Verkada nell'infrastruttura DevOps esposta. Una volta entrato in possesso di questo passepartout, è stato facile ottenere l'accesso root shell ai sistemi di sorveglianza.
La foto di un magazzino Tesla, pubblicata su TwitterLe immagini pubblicate includono quello che sembrava essere l'accesso root a un sistema operativo Linux. Si vede l'indirizzo MAC di una delle schede di rete, che corrisponde alle apparecchiature sviluppate da Verkada. L'allarme è rientrato nel momento in cui la stampa statunitense ha pubblicato la notizia:
Verkada ha bloccato l'account violato, togliendo agli attaccanti ogni possibilità di accesso non autorizzato ai sistemi.
Intanto sono partite le indagini di routine del team interno di sicurezza, dei consulenti esterni e delle forze dell'ordine. L'azienda sta inoltre contattando tutti i clienti dell'avvenuta violazione e ha attivato una linea di supporto.
In realtà, se le cose sono andate come denunciato dagli attaccanti, c'è poco da indagare. Le credenziali esposte online sono un problema di cybersecurity per il quale non si può incolpare alcuno se non le aziende vittime. In questo caso
la gravità è estrema perché la vittima non è solo la diretta interessata, ma tutta la sua supply chain.
Grazie all'accesso root i cyber criminali hanno potuto usare le telecamere per eseguire il proprio codice. Nel corso dell'attacco potrebbero avere fatto movimenti laterali per accedere alle reti aziendali e avere posto le basi per lanciare attacchi futuri.
Speciale video sorveglianza - Come evolve il mondo delle soluzioni per il monitoraggio ambientale, dall'Intelligenza Artificiale alla sicurezza, passando per l'urbanistica e molto altro.
In alcuni casi i danni sembrano limitati. Cloudflare ha fatto sapere che le immagini di cui sono entrati in possesso gli attaccanti si riferivano a uffici non attivi da diversi mesi, e che quindi il contenuto dei video non crea alcun problema né a loro né ai clienti. In ogni caso, a titolo precauzionale
le telecamere sono state disabilitate e disconnesse dalla rete aziendale. È quello che dovrebbero fare tutte le aziende coinvolte.
Ovviamente la situazione più critica riguarda ospedali, carceri e scuole. Comprensibilmente, nessuna di queste istituzioni ha voluto commentare o fornire ulteriori informazioni.
I commenti degli esperti di cybersecurity
David Gubiani, Regional Director SE EMEA Southern di Check Point Software Technologies, ha commentato:
“L'attacco hacker che ha interessato nelle ultime ore l’azienda Verkada è un altro esempio di attacco alla supply chain in cui un unico punto di errore nella rete del fornitore ha un impatto devastante sui suoi clienti e offre un accesso illimitato ai dati dei clienti stessi. Gli attacchi alle supply chain si manifestano in molti modi, ma espongono sempre gli anelli più deboli. Per rafforzare la loro sicurezza, le aziende devono assicurarsi che anche i loro fornitori proteggano adeguatamente le proprie risorse, così da evitare ripercussioni sia sul fornitore sia sul cliente.”
Max Heinemeyer, Director of Threat Hunting di Darktrace, ha commentato
: "Questo attacco dimostra ancora una volta come le complesse catene di approvvigionamento digitale rappresentino a tutti gli effetti un vero e proprio paradiso per gli hacker. Continua infatti un genere di attacco a cui i cybercriminali si sono tenacemente aggrappati negli ultimi mesi: l’infiltrazione nelle organizzazioni attraverso la supply chain. Negli ultimi 4 mesi abbiamo toccato con mano quanto sia efficace questa nuova strategia offensiva, dalla campagna SolarWinds Orion al recente attacco al software Centreon. In questo caso, a essere stato preso di mira non è stato un software, bensì delle telecamere di sicurezza.
Questo attacco dimostra come sia iniziata una nuova era di minacce informatiche in cui migliaia di organizzazioni sono prese di mira a partire da una semplice singola intrusione. Anche se in questo specifico caso gli hacker si sono traditi da soli, la preoccupazione è alta e mi chiedo: quanti attacchi come questo stanno accadendo proprio ora, senza essere scoperti? L’aspetto più allarmante è la facilità con cui questi attacchi possono essere scagliati anche da parte di singoli individui e non solo da gruppi più strutturati, sostenuti dagli stati nazionali.
Troppe organizzazioni sono ancora oggi inconsapevoli di ciò che sta accadendo nei loro sistemi, per non parlare dei rischi che i propri fornitori e i dispositivi IoT come le telecamere di videosorveglianza collegate a Internet possono introdurre all’interno delle stesse. Negli ultimi anni l'Intelligenza Artificiale ha rilevato le minacce derivanti da dispositivi IoT più disparate. Un esempio è stato il tentativo di alcuni hacker di infiltrarsi nei sistemi di videosorveglianza collegati a Internet di una grande società di consulenza globale per ottenere informazioni altamente sensibili e condurre attività illecite di spionaggio aziendale. Lasciando per un attimo da parte l'obiettivo tradizionale degli hacker di realizzare un guadagno finanziario diretto, i filmati rappresentano oggi, nell'era dei deepfake e dell'ingegneria sociale mirata, materiali di estremo valore.
Commento di James Saturnio, Senior Lead Technical Advisor di Ivanti: "Questo hack sottolinea l'aumento degli attacchi di phishing, il problema con le password e la minima quantità di sicurezza mobile che le organizzazioni hanno in atto oggi. Le aziende di tutti i settori devono implementare un modello Zero Trust per garantire che le entità che accedono a informazioni, applicazioni o reti aziendali siano valide e non utilizzino credenziali rubate. Dovrebbero verificare continuamente ogni risorsa e transazione prima di consentire qualsiasi accesso alla rete. Questo inizia con l'implementazione di un'autenticazione avanzata a più fattori.
Guardando al futuro, le aziende dovrebbero eliminare del tutto le password e abilitare invece l'autenticazione dei dispositivi mobili con un accesso biometrico forte e adattivo. L'autenticazione a più fattori senza password può fornire un'esperienza utente senza soluzione di continuità per i dipendenti e ridurre significativamente il rischio di violazioni dei dati.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News!
Seguici