1 млн веб-камер заражены червем BASHLITE и используются для DDoS-атак



    Более миллиона подключаемых к интернету видео-камер и DVR скомпрометированы и являются частью ботнета, который его создатели используют для проведения DDoS-атак. Об этом сообщили исследователи из Level 3 Threat Research Labs. По их информации, злоумышленники используют семейство зловредного софта, которое известно под названиями Lizkebab, BASHLITE, Torlus и Gafgyt — хакерам удалось заразить уже около миллиона устройств в разных странах.

    Специалисты по безопасности проводили исследование известных ботнетов, входе работ они выяснили, что червь BASHLITE связан с некоторыми наиболее организованными и четко структурированными из них. При этом размер ботнетов мог меняться от недели к недели — исследователи регистрировали взаимодействия софта BASHLITE с 74 ботами, а через несколько дней их могло быть уже 120 000. В частности, удалось обнаружить крупный ботнет, в котором использовалось около 100 командных серверов — эта система проводила до 1000 DDoS-атак в день, многие из них длились 5 минут и меньше.

    По оценкам исследователей зловредом BASHLITE заражено около 1 миллиона устройств интернета вещей, из которых примерно 96% — это камеры и системы видеонаблюдения (DVR). Значительная часть устройств расположена на Тайване, в Бразилии и Колумбии.

    image

    Географическое распределение атак

    При этом атакующих чаще всего интересуют именно системы видеонаблюдения — им не составляет труда захвтить контроль над ними, поскольку очень часто на них не отключены службы Telnet, а веб-интерфейсы доступны из интернета со стандартыми логинами и паролями.

    Значительная часть зараженных IoT-устройств выпущена несколькими компаниями, одна из них — Dahua Technology. По словам исследователей из Level 3, вендоры уже готовят патчи для закрытия уязвимостей, которые используются софтом BASHLITE.

    Это не первый случай, когда подключенные к интернету видеокамеры атакуются и объединяются в ботнеты. Ранее в этом году исследователи из компании Sucuri обнаружили ботнет из 25000 подключенных к интернету устройств для видеонаблюдения. Кроме того, ботнет для проведения DDoS-атак, состоящий из инфицированных вебкамер был найден специалистами из Security Engineering and Response Team компании Arbor (ASERT).

    Критические уязвимости в популярной прошивке для DVR-устройств находили также исследователи из Positive Technologies. Среди ошибок — стандартный пароль суперпользователя, который нельзя сменить из-за особенности его хранения, открытые сервисные порты и множественные уязвимости в программном обеспечении DVR-устройства, открывающие злоумышленнику доступ к системе. Кроме того, эксперты обнаружили так называемый мастер-пароль, который подходит к учетной записи любого пользователя системы и открывает доступ к устройству видеонаблюдения с максимальными привилегиями. Этот пароль одинаков для всех DVR-устройств под управлением данного программного обеспечения и не может быть изменен пользователем.

    Устройства, использующие уязвимый софт, продаются под десятками брендов по всему миру. При этом производители зачастую полностью копируют уязвимое ПО и без изменения используют его в собственных разработках. При этом доступа к исходному коду начальной системы, содержащей уязвимости, у них, вероятно, нет, что лишает их возможности устранить ошибки безопасности.

    По оценкам экспертов Positive Technologies, доля этих систем составляет более 90% сегмента рынка устройств такого класса. Подобные устройства используются в системах безопасности преимущественно малым и средним бизнесом, а также частными лицами (например, для того чтобы присматривать за своей квартирой через Интернет). Большое количество уязвимых систем можно обнаружить в Интернете с помощью обычных поисковых систем. На момент обнаружения уязвимости в прошивке поисковики проиндексировали около 500 000 подобных устройств, получить полный доступ к которым не составит для злоумышленника никакого труда.

    Более подробная информация была представлена в докладе в ходе форума Positive Hack Days III:

    • +15
    • 12,3k
    • 6
    Positive Technologies
    254,00
    Компания
    Поделиться публикацией

    Комментарии 6

      +1
      стандартный пароль суперпользователя, который нельзя сменить из-за особенности его хранения

      Судя по всему, разработчик и есть автор DDoS эксплуатации камер ))
        0
        А что?) Прибыльно ведь!
        +5
        И это только начало. В этом вашем IoT уязвимо будет 99% устройств. Скоро каждая лампочка, каждый датчик, каждая мелочь, к которой можно достучаться по сети, будут в ботнетах. Потому что всем насра наплевать на безопасность. За это не платят покупатели. Это скучно, муторно и только всё усложняет.
          –1
          Dahua Technology, все сходится)
            0
            Да, там squashfs, пароль поменять нельзя. Если только прошивку выкачать, пропатчить и зашить обратно. Камеры VstarCam, например, позволяют войти по telnet с паролем 12345. А уже войдя, можно обнаружить массу интересного — и ключ WiFi-сети в открытом виде, и пароль на подключение админом к веб-интерфейсу.

            Там по-тупому всё сделано — логин и пароль админа хранятся в виде переменных, определяемых в js-файле. Который (файл)инклудится в страницы веб-интерфейса. Короче, заходи, кто хочешь, и делай, что хочешь.
              0
              — Как много заражено камер и какой производитель камер лидирует по числу взломов?
              — Dahua.
              — Это ответ на первый вопрос или на второй?

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое