美国联邦调查局（FBI）近日发出警告，一种名为HiatusRAT的新型恶意软件正在扫描并感染暴露在网上的易受攻击的网络摄像头和数字视频录像机（DVR）。这些攻击主要针对中国品牌的设备，这些设备要么正在等待安全补丁，要么已经到达使用寿命。

根据FBI发布的私人行业通知（PIN），攻击者专注于攻击那些尚未获得安全更新或已经达到生命周期终点的中国品牌设备。2024年3月，HiatusRAT的攻击者对美国、澳大利亚、加拿大、新西兰和英国的物联网（IoT）设备进行了扫描活动。这些攻击者扫描网络摄像头和DVR，寻找包括CVE-2017-7921、CVE-2018-9995、CVE-2020-25078、CVE-2021-33044、CVE-2021-36260以及弱供应商提供的密码等漏洞。

攻击者主要针对具有telnet访问权限的Hikvision和Xiongmai设备，使用Ingram（一个开源的网络摄像头漏洞扫描工具）和Medusa（一个开源的身份验证暴力破解工具）进行攻击。他们的攻击目标是那些将23、26、554、2323、567、5523、8080、9530和56575 TCP端口暴露给互联网访问的网络摄像头和DVR。

FBI建议网络防御者限制使用今天PIN中提到的设备和/或将它们与网络的其余部分隔离，以阻止成功HiatusRAT恶意软件攻击后的入侵和横向移动尝试。FBI还敦促系统管理员和网络安全专业人士将可疑的入侵迹象（IOC）发送到FBI的互联网犯罪投诉中心或当地FBI办事处。

此次行动紧随另外两系列攻击：一次是对国防部服务器的侦察攻击，另一次是早些时候的攻击浪潮，其中北美、欧洲和南美的100多家企业的DrayTek Vigor VPN路由器被HiatusRAT感染，以创建一个隐蔽的代理网络。

Lumen，首次发现HiatusRAT的网络安全公司，表示这种恶意软件主要用于在受感染的设备上部署额外的有效载荷，将被破坏的系统转换为SOCKS5代理，用于命令和控制服务器通信。

HiatusRAT的目标偏好和信息收集的转变与中国的战略利益一致，这一联系也在国家情报总监办公室2023年度威胁评估中被强调。