3

Masz NAS Lenovo lub Iomega? Sprawdź czy nie padłeś ofiarą ataku hakerów

Wszystkie urządzenia podłączone do internetu są podatne na różnego rodzaju ataki. Przed wieloma da się zabezpieczyć stosując nawet podstawowe metody i zdrowy rozsądek. No chyba, że całkowicie ufa się producentowi nie robi nic żeby nie stracić swoich danych.

Grupa hakerów ukrywających się pod nazwą Cl0ud SecuritY włamała się do starszych urządzeń NAS LenovoEMC, kasuje z nich dane i zostawia pliki tekstowe z żądaniem okupu. Od 200 do 275 dolarów za ich odzyskanie. Atak trwa przynajmniej od miesiąca. Chociaż nie jestem do końca przekonany, czy aby słowo „atak” jest tu odpowiednie, bo ofiarami padają urządzenia, które udostępniają w sieci swój interfejs zarządzania bez hasła. Cała sytuacja jest dość dziwna, bo to kontynuacja ubiegłorocznego ataku, choć nie da się w prosty sposób powiązać ich z aktualnymi choćby z uwagi na brak podpisu hakerów. Tym razem taki podpis się znalazł – dodatkowo włamywacze kontaktują się z adresu cloud@mail2pay.com. Jednak sam sposób i charakter włamania jest na tyle podobny, że pewnie chodzi o tę samą grupę.

Skala jest natomiast duża – serwis ZDNet zidentyfikował samodzielnie 100 0 takich urządzeń używając wyszukiwarki Shodan.

W rozmowie ze specem od bezpieczeństwa, Victorem Geversem z GDI Foundation udało się ustalić, że tego typu ataki pojawiają się od kilku lat i raczej trudno mówić o jakichś wyszukanych sposobach z wykorzystaniem pomysłowych, skomplikowanych exploitów. Celem padają po prostu urządzenia, które nie posiadają odpowiednich zabezpieczeń czy szyfrowania danych.

Wygląda to niestety trochę tak jakby Lenovo bagatelizowało całą sprawę. Z drugiej strony trudno ocenić czy włamywacze faktycznie skopiowali i trzymają gdzieś dane, których wyciekiem straszą żądając okupu. Tak jak wspomniałem, ataki nie są też niczym nowym, a Lenovo na swojej stronie wsparcia informuje jak prawidłowo zabezpieczyć swoje NAS-y by nie paść ofiarą ataków i odpowiednio dbać o przechowywane na nich dane.

Generalnie od dawna każdy z producentów urządzeń NAS wyjaśnia podstawowe sposoby zabezpieczenia i zasady, jakimi warto się kierować korzystając z takich sprzętów. Zawsze warto zaktualizować oprogramowanie NAS-a do najnowszej wersji i jeśli to możliwe, jak najczęściej korzystać z dodatkowego konta z uprawnieniami admina z odpowiednio silnym hasłem. Tu zasady są standardowe dla wszystkich haseł, warto rozważyć zarówno cyfry, jak i znaki specjalne. Oczywiście unikać banałów typu admin czy 12345 – o nieustawieniu hasła w ogóle nawet nie warto wspominać.

Ataki ransomware prowadzone są najczęściej na portach 8080, a to dlatego, że jest on ustawiany domyślnie – nie zaszkodzi więc zmiana portu na jakiś niestandardowy. Warto też zwrócić uwagę na sam proces logowania i wykorzystanie bezpiecznego połączenia HTTPS z szyfrowaniem SSL, a przy okazji wyłączyć w ogóle opcję logowania bez SSL. Niektóre systemy pozwalają również na wykorzystanie dwupoziomowej weryfikacji do logowania, to niezależnie od urządzenia czy usługi zawsze jest dobry sposób by jeszcze lepiej zabezpieczyć konto. Nie zaszkodzi również automatyczne blokowanie nieznanych adresów IP tak jak i korzystać na NAS-ie w oprogramowania antywirusowego, choćby dlatego żeby samemu czegoś szkodliwego przypadkiem tam nie wrzucić. Od siebie dodam, że warto się też zastanowić jakie dane przechowujemy na urządzeniach podpiętych do sieci. Ogólna zasada mówiąca o tym, że niektóre pliki warto trzymać w miejscach od sieci odłączonych to chyba najlepszy sposób na to, by nie dostały się w żadne niepowołane – przypadkowe, czy też nieprzypadkowe ręce.

grafika: 1, 2

źródło