El FBI ha emitido una advertencia sobre nuevos ataques de malware HiatusRAT que están escaneando e infectando cámaras web y DVRs vulnerables expuestos en línea. Según una notificación privada publicada recientemente, los atacantes centran sus esfuerzos en dispositivos de marcas chinas que aún no han recibido actualizaciones de seguridad o que ya han alcanzado el final de su vida útil.
En marzo de 2024, los actores detrás de HiatusRAT llevaron a cabo una campaña de escaneo dirigida a dispositivos del Internet de las Cosas (IoT) en países como Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido. Los atacantes buscaron vulnerabilidades en cámaras web y DVRs, incluyendo fallos como CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260, y contraseñas débiles proporcionadas por los fabricantes.
Los dispositivos de Hikvision y Xiongmai son los principales objetivos, utilizando herramientas de código abierto como Ingram para escanear vulnerabilidades en cámaras web y Medusa para ataques de fuerza bruta en autenticación. Los ataques se centran en cámaras web y DVRs con puertos TCP como 23, 26, 554, 2323, 567, 5523, 8080, 9530 y 56575 expuestos a Internet.
El FBI ha recomendado a los defensores de redes limitar el uso de estos dispositivos o aislarlos del resto de sus redes para evitar intentos de violación y movimiento lateral tras ataques exitosos de HiatusRAT. También insta a los administradores de sistemas y profesionales de ciberseguridad a reportar indicios sospechosos de compromiso al Centro de Quejas de Delitos en Internet del FBI o a su oficina local del FBI.
Esta campaña sigue a otras dos series de ataques: una que también se dirigió a un servidor del Departamento de Defensa en un ataque de reconocimiento y una ola anterior en la que más de un centenar de empresas de América del Norte, Europa y América del Sur vieron sus routers DrayTek Vigor VPN infectados con HiatusRAT para crear una red proxy encubierta. Lumen, la empresa de ciberseguridad que detectó por primera vez HiatusRAT, señala que este malware se utiliza principalmente para desplegar cargas adicionales en dispositivos infectados, convirtiendo los sistemas comprometidos en proxies SOCKS5 para la comunicación con servidores de comando y control.