В результате взлома инфраструктуры компании Verkada, занимающейся поставкой умных камер наблюдения с поддержкой распознавания лиц, злоумышленники получили полный доступ к более 150 тысячам камер, используемым в таких компаниях, как Cloudflare, Tesla, OKTA, Equinox, а также во многих банках, тюрьмах, школах, полицейских участках и больницах.

Участники хакерской группы APT 69420 Arson Cats упомянули о наличии у них root-доступа на устройствах во внутренней сети CloudFlare, Tesla и Okta, привели в качестве доказательства видеозаписи изображений с камер и скриншоты с результатами выполнения типовых команд в shell. Атакующие заявили, что при желании за неделю смогли бы получить контроль над половиной интернета.

https://www.opennet.ru/opennews/pics...1615370395.jpg

Взлом Verkada был осуществлён через незащищённую систему одного из разработчиков, напрямую подключённую к глобальной сети. На данном компьютере были найдены параметры учётной записи администратора, имеющего право доступа ко всем элементам сетевой инфраструктуры. Полученных прав оказалось достаточно для подключения к камерам клиентов и запуску на них shell-команд с правами root.

https://www.opennet.ru/opennews/pics...1615368441.jpg

Представители компании Cloudflare, поддерживающей одну из крупнейших сетей доставки контента, подтвердили, что атакующие смогли получить доступ к камерам наблюдения Verkada, используемым для контроля над коридорами и входными дверями в некоторых офисах, которые были закрыты уже около года. Сразу после выявления несанкционированного доступа компания Cloudflare отключила все проблемные камеры от офисных сетей и провела аудит, который показал, что в ходе атаки не были затронуты данные клиентов и рабочие процессы. Для защиты в Cloudflare применяется модель нулевого доверия (Zero Trust), подразумевающая изоляцию сегментов и гарантирующая, что взлом отдельных систем и поставщиков не приведёт к компрометации всей компании.

Хакер, взломавший камеры Verkada, обвиняется во взломе более 100 компаний

Министерство юстиции США предъявило обвинение гражданину Швейцарии Тилли Коттманну (Tillie Kottmann) во взломе более чем 100 компаний и утечке конфиденциальных данных в Сети.

Напомним, в начале марта исследователь безопасности Коттман вместе с другими специалистами взломал компанию облачного видеонаблюдения Verkada и опубликовал изображения с камер, а также скриншоты своей способности получить доступ суперпользователя к системам наблюдения, используемым в компании Cloudflare, штаб-квартире Tesla, больницах и тюрьмах.

Согласно судебным документам, обвинения были выдвинуты еще до взлома Verkada и относятся к деятельности швейцарских хактивистов, начиная с 2019 года, когда они начали искать в интернете некорректно настроенные репозитории исходного кода, принадлежащие крупным корпорациям и правительственным организациям.

Как сообщили власти, Коттманн обнаружил данные репозитории, но вместо того, чтобы уведомить затронутые организации, он подключился к уязвимым приложениям, похитил интеллектуальную собственность и разместил украденный контент на своем web-сайте. По данным Министерства юстиции, с 2019 года на сайте были опубликованы данные более чем 100 компаний, в том числе Intel, Mercedes-Benz, Nissan, Pepsi, Toyota, GitHub, Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon, Mediatek, GE Appliances, Nintendo, Roblox, Disney, Fastspring, React Mobile, Axial и пр.

Официальные лица сообщили, что Коттманн часто пытался объяснить свои действия хактивизмом против компаний, которые придерживались идеологии, направленной против интеллектуальной собственности.

«Кража учетных данных, публикация исходного кода, а также конфиденциальной информации в Сети могут подвергнуть риску взлома всех, от крупных корпораций до отдельных потребителей. Использование якобы альтруистических мотивов не устраняет криминального последствия такого вторжения, воровства и мошенничества», — пояснила исполняющая обязанности прокурора США Тесса М. Горман (Tessa M. Gorman).

В настоящее время Коттманн находится на свободе. Если швейцарский хакер будет экстрадирован, предан суду и признан виновным в США, ему грозит от 2 до 20 лет тюрьмы.

https://www.securitylab.ru/news/517581.php