Хакери зламали систему безпеки відеоспостереження Dahua SmartPSS

Хакери зламали систему безпеки відеоспостереження Dahua SmartPSS за допомогою так званого “бекдору”, який було встановлено в систему завантаження Dahua SmartPSS через веб-браузер з фішингового сайту, що був схожий на офіційний CCTV Security Pros OEM.

Про “бекдор” вперше повідомило джерело FireEye. В звіті йшлося, що хакери встановили в систему Dahua SmartPSS вірус “троян” з веб-сайту OEM, за допомогою інсталятора Nullsoft, який також мав скрипти, що запускав таймер встановлення бекдора під назвою SmokedHam. SmokedHam реєструє всі натискання клавіш, робить віддалені знімки екрану, проте найважливіше, дозволяє виконувати команди PowerShell без відома користувача. 

FireEye спостерігали, як зловмисники використовували цей бекдор для встановлення VNC на ПК “жертви”, даючи їм повний контроль та можливість перегляду дій користувача у режимі реального часу.  Джерело FireEye повідомляє, що один з постраждалих зв’язався з ними та повідом, що встиг уникнути неприємної участі, але просить інших бути обачними. 

Оцінка офіційного сайту OEM та їх коментар з приводу цього

Як указано в джерелі, вони виявили, що цей текст відповідає новому файлу на сторінці завантаження CCTV Security, тому було прийнято рішення звернутися до компанії задля отримання коментарів щодо цього інциденту та згодом отримали відповідь:

• Як надійний продавець камер і систем відеоспостереження, безпека та конфіденційність наших клієнтів є першочерговим завданням. Як тільки ми побачили ваш звіт, ми негайно вжили заходів і видалили файл. Станом на 12:36 17.06.2021 файл був замінений повністю новим.

На питання, чи планують вони повідомити або вже повідомили клієнтів, вони відповіли:

• Кожен раз, коли з’являється нова версія нашого програмного забезпечення, ми повідомляємо про це нашим клієнтам. Нашим пріоритетом завжди буде тримати наших клієнтів в курсі”.

Нарешті, на питання, чи знають вони, як відбулося порушення і хакери змогли завантажити скомпрометовану версію, вони відповіли:

• Посилання на наше програмне забезпечення надаються нам, безпосередньо, від виробників обладнання, яке ми продаємо. У будь-якому випадку ми розглянемо, як файл був зламаний і приймемо необхідні дії.

Партнер DarkSide Ransomware

Як стало відомо, ці  хакери є однією з трьох основних філій групи-злочинців DarkSide, яку відстежує FireEye, як UNC 2465. На сьогодні, DarkSide найбільш відомий своїм недавнім зломом колоніального трубопроводу на сході США. Проте поки не надходило повідомлень про вимогу виплат UNC 2465 від жертв бекдора SmartPSS. Скоріш за все, більшість користувачів не постраждало Цей бекдор SmartPSS, ймовірно, не отримав широкого розповсюдження. CCTV Security Pros маловідомий навіть серед невеликих OEM-виробників Dahua, тому малоймовірно, що велика кількість користувачів завантажили троян-файл, поки він був доступний.

Крім того, сайт підтримки CCTV Security Pros не користується популярністю при пошуку SmartPSS, так як він з’являється на другий або третій сторінці результатів пошуку, тому малоймовірно, що користувачі знайдуть його, просто виконавши пошук SmartPSS.

Відгук Dahua

У відгуках Dahua не згадують багато деталей, які стосуються цієї справи, але підтверджується їхня спільна позиція щодо кібербезпеки:

• Ми цінуємо роботу Fireeye по виявленню цієї помилки. Подібні дослідження безпеки відіграють важливу роль в екосистемі для всіх виробників. У Dahua є великий набір протоколів для виявлення і усунення вразливостей. Наша практика побудована навколо кібербезпеки, як безперервного процесу, який вимагає постійного тестування і поліпшення продуктів. Відповідно до передової галузевої практики, Dahua розробила протоколи для своєчасного оповіщення OEM-виробників про нововиявлені проблеми безпеки і виправлення для них. Dahua відповідально ставиться до веб-безпеки. Відповідно до передової практики ми проводимо регулярне тестування на проникнення, моніторинг безпеки в реальному часі і регулярні протоколи резервного копіювання.

Можливі загрози кібербезпеки для невеликих виробників обладнання

Хоча більшість питань кібербезпеки індустрії відеоспостереження зосереджено на великих гравцях, цей бекдор ілюструє потенційну загрозу, яка  зумовлена наявністю безлічі дрібних OEM-виробників. Багато з цих організацій дуже малі і прості, і у співробітників немає необхідних знань для захисту їх інфраструктури від атак такого типу. Через це вони можуть бути мішенню для зловмисників, особливо для атак типу програм-вимагателів.