Prorosyjskie grupy podglądają Polaków przez kamery IP

16 lutego br. NASK przekazał informację o tym, że niedawno zaczęły się pojawiać „oferty sprzedaży dostępu do przejętych kamer IP z całego świata, w tym również z Polski”.

Ekspert z zespołu Dyżurnet.pl podkreślił, że atakujący podglądają m.in.:

• śpiące dzieci;
• osoby starsze w prywatnych mieszkaniach;
• pacjentów placówek medycznych.

„Zdarzają się sytuacje, w których intruzi przez głośniki kamer próbują przestraszyć użytkowników, krzyczą do nich lub emitują niepokojące dźwięki” – stwierdził wówczas Maciej Kępka (Dyżurnet).

Warto przy tym pamiętać, że takie ataki nie są skomplikowane. NASK zaznaczył, że mowa tutaj głównie o uzyskaniu dostępu wskutek wykorzystania domyślnych danych logowania.

W zgromadzonych materiałach widoczne są również osoby starsze, nagie, a nawet zrzuty ekranu z miejsc przypominających szpitale czy domy pomocy społecznej. Większość nagrań sugeruje, że chodzi o urządzenia zlokalizowane w krajach azjatyckich, jednak wśród nich można znaleźć również kamery z Polski.
NASK

Z racji na apel NASK o zabezpieczenie kamer IP postanowiliśmy opisać kilka incydentów z ostatnich miesięcy, które dotyczą urządzeń przejętych przez haktywistów powiązanych z Rosją. Pragniemy przy tym zaznaczyć, że część działań cyberprzestępców może być nacechowana propagandowo – na niektórych nagraniach niemożliwe jest jednoznaczne przypisanie kraju do obrazu.

Rosja przejmuje polskie kamery

Na przełomie lutego i marca br. kanał na Telegramie grupy odpowiedzialnej m.in. za ataki na polskie wodociągi przestał działać. Na szczęście zarchiwizowaliśmy niektóre z nagrań i postów, które zostały opublikowane na przestrzeni ostatnich kilku miesięcy.

Jeden z filmów przedstawia pomieszczenie z prasami krawędziowymi, co opisano w lewym dolnym rogu podglądu z kamery. Na nagraniu widać dwóch pracowników podczas wykonywania swoich zadań służbowych.

Cyberprzestępcy powiązani z Federacją Rosyjską opublikowali również zrzuty ekranu z kamer w polskich urzędach. Wiele z nich przypomina kamery monitoringu (m.in. z racji na położenie czy znacznik czasu), lecz nie można wykluczyć, że część pochodzi z transmisji posiedzeń.

Warto jednocześnie pamiętać o tym, że uzyskanie poglądu z kamer nie oznacza kontroli nad środowiskiem IT organizacji, zaś sam „dostęp do kamer” może być wykorzystany propagandowo.

Haktywiści opublikowali również nagranie z obiektu będącym prywatnym domem lub małym hostelem. Na nagraniu widoczna była jedna osoba. Warto dodać, że kamery skierowane były m.in. na łóżka w pokojach.

Kolejne kamery

Cyberprzestępcy opublikowali kolejne nagrania opisane jako pochodzące z Polski. Na filmach nie znajdują się jednoznaczne dowody ku temu, dlatego należy traktować je z dozą niepewności co do kraju pochodzenia. Z racji na wspomniany komunikat NASK pragniemy je przytoczyć jako przykłady włamań do kamer IP.

Jedno z nagrań zostało opisane jako pochodzące z polskiego baru. Widać na nim klientów oraz pracowników restauracji. Na pochodzenie filmu z naszego kraju wskazuje m.in. charakterystyczna butelka wody od polskiego producenta.

Haktywiści opublikowali też nagranie z salonu fryzjerskiego z sieci obecnej w Polsce. Jeden z produktów na półkach należy do polskiej firmy.

Na kolejnych dwóch filmach widzimy salę bankietową oraz zaporę wodną. W przypadku drugiego obiektu haktywiści opisali go jako „oczyszczalnia ścieków”, lecz nie mamy potwierdzenia, aby obiekt pełnił taką funkcję – możliwe, że cyberprzestępcy chcieli wykorzystać włamanie do kamer w celach propagandowych.

Co to oznacza?

„Stosując podstawowe zasady cyberhigieny, da się znacząco ograniczyć ryzyko nieautoryzowanego dostępu i sprawić, że kamera rzeczywiście będzie służyć bezpieczeństwu, a nie je naruszać” – stwierdzono w przytoczonym wcześniej artykule NASK poświęconym kamerom IP.

Jako metody ochrony przez cyberprzestępcami wskazano m.in.:

• nieudostępnianie kamer w Internecie;
• korzystanie z dostępu przez VPN w przypadku konieczności korzystania z dostępu zdalnego;
• zmianę domyślnych danych logowania;
• aktualizowanie oprogramowania kamery.

Warto również sobie odpowiedzieć na jedno ważne pytanie: czy naprawdę potrzebujemy kamer w sypialniach czy innych intymnych miejscach?

W październiku ubiegłego roku Sekurak opisał kampanię polegającą na wykorzystaniu wówczas ośmioletniej podatności w kamerach Hikvision (CVE-2017-7921).

„Szczególnie w takich sytuacjach zalecana jest ścisła kontrola dostępu do naszych zasobów, przemyślana segmentacja sieci, właściwa polityka haseł i stała kontrola logów” – stwierdzono wówczas w artykule.

Pokazywanie widoków z kamer może nieść ze sobą wydźwięk propagandowy, ponieważ realne skutki dla organizacji są mniejsze niż np. podczas ataku ransomware. Wiemy jednak, że polskie kamery IP były na celowniku GRU, co opisano w opracowaniu współtworzonym przez ABW i SKW.

„Raport pokazuje, że GRU wykorzystuje także prywatne i publiczne kamery IP – zwłaszcza na przejściach granicznych i w punktach logistycznych. Uzyskany obraz prawdopodobnie służy do śledzenia tras i ruchu transportów pomocowych” – stwierdzono w komunikacie Ministerstwa Cyfryzacji.

Apelujemy do wszystkich osób wykorzystujących kamery IP do zweryfikowania konfiguracji urządzeń pod kątem cyberbezpieczeństwa.