微软发现，华宇代理这个名为“锶”(Strontium)、“花式熊”(Fancy Bear)和“APT 28”的组织使用制造商的默认密码或利用未修补的漏洞访问了这些设备。

 

破解一台设备后，入侵者进入其公司网络，扫描更不安全的设备，在网络上移动，用高价值的数据损害高特权帐户。

 

微软指出，当入侵者从一个设备转移到另一个设备时，他们删除了一个简单的shell脚本，以便在网络上建立持久性，从而允许继续进行搜索的扩展访问。

 

黑客在寻找什么?

 

“由于我们在早期阶段就发现了这些攻击，我们还不能最终确定锶在这些入侵中的最终目标是什么，”MSRC小组的报告说。

 

“虽然业界大多关注硬件植入的威胁，但从这个例子中我们可以看到，对手很乐意利用更简单的配置和安全问题来实现他们的目标，”报告继续写道。“随着越来越多的物联网设备被部署到企业环境中，这些利用薄弱设备管理的简单攻击可能会扩大。”

 

物联网不是玩具

 

旧金山物联网安全平台制造商Mocana的首席技术官迪安•韦伯(Dean Weber)解释称，微软案中的黑客对一款防护松懈的设备发起了攻击，该设备的默认密码或易于猜测的密码容易受到字典攻击。

 

在消费者领域，这样的攻击本身不会有多大价值，因为该设备将连接到家庭网络，“但如果您谈论的是能够访问ICS-SCADA世界的设备，那就有问题了。现在你可以访问工业平台的命令和控制结构，”他告诉TechNewsWorld。

 

韦伯说:“人们认为这些设备是玩具，实际上它们就是玩具，但如果它们能让攻击者进入网络并造成破坏，那么这个玩具就能给他们提供很多访问权限。”

 

位于加州纽波特比奇的网络和物理安全咨询公司Onyx的高级技术总监斯宾塞•利希滕斯坦(Spencer Lichtenstein)表示，微软描述的这类攻击的严重性因组织的准备情况而异。

 

他在接受TechNewsWorld采访时表示:“拥有最新资产清单的企业可以更容易地将物联网设备纳入考虑范围，因此更容易获得这些设备。”

 

李奇登斯坦继续说道:“了解你作为一家公司所拥有的一切，是获得一项产品的关键。”“这种威胁越严重，你对物联网足迹的了解就越少，对企业网络的控制就越少。”

 

黑客磁铁

 

引发黑客利用的物联网产品缺陷似乎是一个日益严重的问题。

 

总部位于旧金山的众包安全公司Bugcrowd的首席技术官大卫·贝克(David Baker)表示，2018年物联网漏洞报告同比增长了344%。

 

他在接受TechNewsWorld采访时表示:“考虑到联网设备的数量和类型，很有可能出现一个巨大的易受攻击的表面。”

 

贝克继续说道:“在我们的家中、工作场所和任何地方，都有联网设备。”“将这种巨大的易受攻击的表面与常见的用户配置错误结合起来，网络罪犯往往可以轻松地利用物联网设备。”

 

位于加州圣何塞的思科系统(Cisco Systems)威胁情报部门思科塔洛斯(Cisco Talos)外部部主任克雷格?威廉姆斯(Craig Williams)指出，物联网设备对黑客具有吸引力，因为这些设备在网络上往往是隐形的，不需要维护。

他对TechNewsWorld表示:“如果攻击者能够破坏未维护的物联网设备，那么在可预见的未来，它就能有效地充当一扇门，攻击者可以利用它访问网络。”

 

总部位于伦敦的网络、信息安全和风险管理权威机构信息安全论坛(Information Security Forum)董事总经理史蒂夫•德宾(Steve Durbin)表示，安全成本可能很高，因此许多物联网设备的开发商未能充分考虑安全问题。

 

他在接受TechNewsWorld采访时表示:“它们的创建是为了以尽可能低的成本提供和处理信息。”

 

注意安全

 

威廉姆斯说，虽然一些设备制造商通过部署自动补丁等功能，在安全方面取得了长足的进步，但大多数情况下，这些设备的设计都尽可能地便宜。

 

他说:“不幸的是，如果你购买的设备价格是首要考虑的问题，那么它背后不太可能有一个软件工程师团队来设计未来的固件更新，以防范安全问题。”

 

波士顿关键基础设施和工业网络安全公司CyberX的工业网络安全副总裁菲尔?奈雷(Phil Neray)说，物联网设备制造商在设计产品时经常走捷径。

 

他对TechNewsWorld表示:“他们通常会抓取几个开源库，然后把它们放到自己的产品中。”“他们没有检查这些库是否存在漏洞，是否容易受到攻击。而且随着这些库补丁的发布，它们肯定不会随着时间的推移保持更新。”

 

Onyx的李奇登斯坦指出，设备制造商更加意识到加强安全控制的必要性，但在实际改进方面的进展很难衡量。“许多企业级物联网设备——用于建筑和集成电路系统的恒温器——正在取得进展，吸引着投资，但相对而言，像灯泡或冰箱这样的‘智能产品’没有取得任何重大进展。”

 

在政府方面，已经有了一些明显的进展。美国国家标准与技术研究院(National Institute of Standards and Technology)最近发布了物联网设备的“核心基线”。它包括购买者在购买物联网设备时应该注意的六个安全特性:设备识别、设备配置、数据保护、接口逻辑访问、软件和固件更新以及网络安全事件日志。

 

不过，总部位于加州圣何塞的自动威胁管理解决方案提供商Vectra的安全分析主管克里斯•莫拉莱斯(Chris Morales)表示，缺乏安全进展可能会让从业者感到沮丧。

 

他在接受TechNewsWorld采访时表示，研究人员在2016年发布的一份Vectra报告中详细描述了网络摄像头被用作连接网络的后门。“然而，我们仍然听到同样的问题。没有什么改变，华宇物联网的安全性几乎没有改善。”