Malware avançado

FBI alerta sobre malware HiatusRAT em webcams e DVRs vulneráveis

O FBI emitiu um alerta sobre novos ataques do malware HiatusRAT que exploram webcams e DVRs vulneráveis, principalmente de marcas chinesas, visando dispositivos sem patch ou obsoletos.

Imagem de pessoa em frente a computadores
Imagem: CheckPoint

O FBI emitiu um alerta nesta segunda-feira (16) sobre ataques do malware HiatusRAT, que estão visando webcams e DVRs expostos à internet e sem proteção adequada. Os dispositivos afetados são, em sua maioria, modelos chineses vulneráveis que aguardam atualizações de segurança ou que já não recebem suporte devido ao fim de vida útil.

De acordo com a notificação da indústria privada (PIN), os ataques do HiatusRAT cresceram desde março de 2024, quando cibercriminosos iniciaram varreduras de dispositivos IoT em países como EUA, Austrália, Canadá, Nova Zelândia e Reino Unido.

Os invasores exploram principalmente falhas conhecidas, como:

  • CVE-2017-7921
  • CVE-2018-9995
  • CVE-2020-25078
  • CVE-2021-33044
  • CVE-2021-36260

Além dessas vulnerabilidades, senhas fracas e padrões configuradas pelos fornecedores também facilitam a exploração.

Principais alvos dos ataques

Malware HiatusRAT

As marcas mais visadas são Hikvision e Xiongmai, com os ataques focados em dispositivos com porta Telnet exposta. Ferramentas de código aberto, como Ingram (usada para escaneamento de webcams) e Medusa (para força bruta em senhas), são utilizadas pelos atacantes.

Entre as portas TCP visadas estão:
23, 26, 554, 2323, 567, 5523, 8080, 9530 e 56575.

Recomendações do FBI

O FBI orienta administradores de redes e profissionais de segurança a:

  1. Limitar ou isolar dispositivos IoT vulneráveis do restante da rede;
  2. Monitorar comportamentos suspeitos que possam indicar comprometimentos;
  3. Relatar incidentes ao Internet Crime Complaint Center do FBI ou ao escritório local.

Além disso, o FBI destaca a importância de atualizar dispositivos e desativar portas desnecessárias para reduzir a exposição aos ataques.

Contexto das campanhas HiatusRAT

Os ataques recentes fazem parte de uma evolução do malware HiatusRAT, que anteriormente:

  • Visou servidores do Departamento de Defesa em campanhas de reconhecimento;
  • Comprometeu roteadores DrayTek Vigor VPN em empresas das Américas e Europa, criando redes proxy secretas para ocultar atividades maliciosas.

A Lumen, empresa responsável por identificar o HiatusRAT, explica que o malware atua instalando cargas adicionais nos dispositivos infectados, convertendo-os em proxies SOCKS5 para comunicação com servidores de controle.

A ligação com interesses chineses

Segundo a avaliação anual de ameaças de 2023 do Gabinete do Diretor de Inteligência Nacional, a mudança na estratégia do HiatusRAT para direcionar webcams e DVRs está alinhada aos interesses estratégicos chineses.

Acesse a versão completa
Sair da versão mobile