В результате взлома инфраструктуры компании Verkada, занимающейся поставкой умных (https://www.verkada.com/surveillance/) камер наблюдения с поддержкой распознавания лиц, злоумышленники получили (https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams) полный доступ к более 150 тысячам камер, используемым в таких компаниях, как Cloudflare, Tesla, OKTA, Equinox, а также во многих банках, тюрьмах, школах, полицейских участках и больницах.

Участники хакерской группы APT 69420 Arson Cats упомянули (https://archive.md/Q4rOk) о наличии (https://web.archive.org/web/20210309225857/https://twitter.com/nyancrimew/status/1369390591700828170) у них root-доступа на устройствах во внутренней сети CloudFlare, Tesla и Okta, привели в качестве доказательства видеозаписи изображений с камер и скриншоты с результатами выполнения типовых команд в shell. Атакующие заявили, что при желании за неделю смогли бы получить контроль над половиной интернета.

https://www.opennet.ru/opennews/pics_base/0_1615370395.jpg (https://web.archive.org/web/20210309223027im_/https://pbs.twimg.com/media/EwEL01qWYAgkESN.jpg)

Взлом Verkada был осуществлён (https://arstechnica.com/information-technology/2021/03/hackers-access-security-cameras-inside-cloudflare-jails-and-hospitals/) через незащищённую систему одного из разработчиков, напрямую подключённую к глобальной сети. На данном компьютере были найдены параметры учётной записи администратора, имеющего право доступа ко всем элементам сетевой инфраструктуры. Полученных прав оказалось достаточно для подключения к камерам клиентов и запуску на них shell-команд с правами root.

https://www.opennet.ru/opennews/pics_base/0_1615368441.jpg (https://archive.md/Q4rOk/5a407bbb6d5389dfe3277b7739cd655af70b71d9.jpg)

Представители компании Cloudflare, поддерживающей одну из крупнейших сетей доставки контента, подтвердили (https://news.ycombinator.com/item?id=26407364), что атакующие смогли получить доступ к камерам наблюдения Verkada, используемым для контроля над коридорами и входными дверями в некоторых офисах, которые были закрыты уже около года. Сразу после выявления несанкционированного доступа компания Cloudflare отключила все проблемные камеры от офисных сетей и провела аудит, который показал, что в ходе атаки не были затронуты данные клиентов и рабочие процессы. Для защиты в Cloudflare применяется модель нулевого доверия (Zero Trust), подразумевающая изоляцию сегментов и гарантирующая, что взлом отдельных систем и поставщиков не приведёт к компрометации всей компании.

10.03.2021

https://www.opennet.ru/opennews/art.shtml?num=54733​

Хакер, взломавший камеры Verkada, обвиняется во взломе более 100 компаний

Министерство юстиции США предъявило (https://www.justice.gov/usao-wdwa/pr/swiss-hacker-indicted-conspiracy-wire-fraud-and-aggravated-identity-theft) обвинение гражданину Швейцарии Тилли Коттманну (Tillie Kottmann) во взломе более чем 100 компаний и утечке конфиденциальных данных в Сети.

Напомним, в начале марта исследователь безопасности Коттман вместе с другими специалистами взломал (https://www.securitylab.ru/news/517309.php) компанию облачного видеонаблюдения Verkada и опубликовал изображения с камер, а также скриншоты своей способности получить доступ суперпользователя к системам наблюдения, используемым в компании Cloudflare, штаб-квартире Tesla, больницах и тюрьмах.

Согласно судебным документам, обвинения были выдвинуты еще до взлома Verkada и относятся к деятельности швейцарских хактивистов, начиная с 2019 года, когда они начали искать в интернете некорректно настроенные репозитории исходного кода, принадлежащие крупным корпорациям и правительственным организациям.

Как сообщили власти, Коттманн обнаружил данные репозитории, но вместо того, чтобы уведомить затронутые организации, он подключился к уязвимым приложениям, похитил интеллектуальную собственность и разместил украденный контент на своем web-сайте. По данным Министерства юстиции, с 2019 года на сайте были опубликованы данные более чем 100 компаний, в том числе Intel, Mercedes-Benz, Nissan, Pepsi, Toyota, GitHub, Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon, Mediatek, GE Appliances, Nintendo, Roblox, Disney, Fastspring, React Mobile, Axial и пр.

Официальные лица сообщили, что Коттманн часто пытался объяснить свои действия хактивизмом против компаний, которые придерживались идеологии, направленной против интеллектуальной собственности.

«Кража учетных данных, публикация исходного кода, а также конфиденциальной информации в Сети могут подвергнуть риску взлома всех, от крупных корпораций до отдельных потребителей. Использование якобы альтруистических мотивов не устраняет криминального последствия такого вторжения, воровства и мошенничества», — пояснила исполняющая обязанности прокурора США Тесса М. Горман (Tessa M. Gorman).

В настоящее время Коттманн находится на свободе. Если швейцарский хакер будет экстрадирован, предан суду и признан виновным в США, ему грозит от 2 до 20 лет тюрьмы.

https://www.securitylab.ru/news/517581.php (https://www.securitylab.ru/news/517581.php?ref=123)