Operazione Panopticon: oltre 150.000 telecamere per la videosorveglianza in mano agli hacker

Un gruppo di aggressori la cui identità resta al momento sconosciuta si sono resi protagonisti di un epocale attacco che ha preso di mira le videocamere utilizzate per la videosorveglianza in azienda come Tesla, Cloudflare, Equinox, cliniche, banche e istituti penitenziari.

Con una serie di post pubblicati su Twitter gli hacker hanno dimostrato di aver assunto il controllo di migliaia di telecamere (sembra circa 150.000) fornite dal produttore Verkada ai vari clienti, tra i quali si riconoscono tanti nomi di spicco.

Il gruppo di hacker non sembra essere a caccia di denaro: l’azione appena condotta in porto e battezzata operazione Panopticon (qui l’origine del nome) appare ascrivibile al cyber-attivismo oppure potrebbe essere stata motivata da un obiettivo che al momento non risulta palese.

“Tenete a mente che i dispositivi compromessi potrebbero anche essere utilizzati per installare malware e avviare attacchi DDoS così come per infiltrarsi nelle reti alle quali essi sono collegati“, ha commentato Candid Wüest, Vicepresident Cyber Protection Research di Acronis, azienda che fornisce soluzioni per la cyber protection.

Il produttore Verkada ha definito l’attacco informatico come “poco sofisticato” ma a questo punto sono tanti i punti interrogativi che sono stati da più parti sollevati.

Innanzi tutto Verkada, che ha sede principale negli Stati Uniti, in California, non progetta e commercializza solamente telecamere ma offre ai suoi clienti sistemi per il riconoscimento facciale, il rilevamento delle targhe, il controllo dei flussi di veicoli e persone con la possibilità, in tutti i casi, di elaborare le immagini catalogandole di conseguenza.

Stando ai risultati delle prime analisi sin qui condotte gli aggressori avrebbero trovato credenziali di accesso codificate (hardcoded) in una piattaforma DevOps evidentemente utilizzata per ottimizzare la collaborazione tra gli sviluppatori e la loro produttività.
Tale piattaforma non soltanto era esposta sulla rete Internet ma le credenziali di accesso corrispondevano a un super user in grado di attivare l’accesso alle telecamere dei clienti.

Com’è possibile, inoltre, che con un account super user sia possibile accedere ai flussi in streaming delle videocamere dei clienti?
Non solo. Gli aggressori sostengono – sempre usando le credenziali del super user – di essere riusciti ad abilitare una shell SSH per controllare a distanza la configurazione delle varie telecamere con i permessi di root.

Nell’articolo Telecamere videosorveglianza: come sceglierle abbiamo visto su quali basi acquistare le migliori videocamere.
L’aspetto della sicurezza, trattato nell’ultimo paragrafo Accessibilità della telecamera IP e sicurezza riveste evidentemente un ruolo essenziale.

Bisognerebbe sempre evitare di far affacciare una o più telecamere sull’IP pubblico assegnato al router (anche se l’accesso ai rispettivi pannelli di controllo fosse protetto con username e password “forte”) preferendo ad esempio l’accesso al flusso audio/video solo previa connessione via VPN. Le telecamere dovrebbero inoltre essere separate dalla rete informatica principale in modo che non possano essere sfruttate per collegarsi alle risorse condivise in locale da host remoti.

Nel caso in cui si decidesse di appoggiarsi alle piattaforme cloud dei singoli produttori bisognerebbe sempre segmentare la rete separando le telecamere dalle altre risorse.