Как показало исследование компании Incapsula, взломанные камеры видеонаблюдения в умелых руках образуют крупнейшие ботнеты, о существовании которых мало кто догадывается. Впервые исследователи обратили внимание на резкое увеличение ботнетов из устройств, относящихся к Интернету вещей, в марте 2014 года. Сеть выросла на 240% за счет увеличения взломанных камер видеонаблюдения. По данным статистики, камеры видеонаблюдения являются одним из наиболее распространенных устройств интернета вещей, в 2014 году по всему миру работали 245 млн. камер видеонаблюдения. Из них профессионально установлены были единицы, а подавляющее большинство камер были поставлены неквалифицированными специалистами без соблюдения мер безопасности.
Более того, владельцы камер и не подозревают о существовании требований по кибербезопасности к системам видеонаблюдения, потому ботнеты из камер являются старейшими врагами специалистов по ИБ. Исследователи Incapsula столкнулись с простой DDoS-атакой на компьютерные системы одного из клиентов компании. Мощность атаки не превышала 20 тысяч запросов в секунду. Проверяя по списку атакующие IP-адреса, эксперты обнаружили, что часть из устройств ботнета были расположены рядом с их офисом.
Дальнейшие исследования показали, атакующие IP-адреса принадлежали камерам видеонаблюдения. При их установке монтажники не изменили заводские учетные записи с логином и паролем по умолчанию. Более того, исследователи нашли также камеры видеонаблюдения в одном их торговых центров города. Они встретились с владельцами магазинов, доказали им, что их камеры видеонаблюдения ведут DDoS-атаку и вычистили вредоносное программное обеспечение с жестких дисков зараженных устройств. Всего в ботнете были задействованы примерно 900 камер видеонаблюдения, расположенных по всему миру.
Их целью был большой облачный сервис, обслуживающий миллионы пользователей во всем мире. Все взломанные устройства работали под Embedded Linux с набором утилит BusyBox. Вредоносный код – двоичный ELF для ARM, вариант ELF_BASHLITE (он же Lightaidra или GayFgt), который сканирует сетевые устройства, работающие на BusyBox, ищет открытые Telnet / SSH соединения, которые восприимчивы началу грубой атаки по сценарию.
Примечательно, что все взломанные камеры, которые отследили эксперты, были зарегистрированы в разных местах, это признак того, что их взломали разные люди. Это говорит о том, насколько просто найти и использовать в своих целях незащищенные устройства. Потому компания Incapsula еще раз напоминает, что все заводские учетные, которые прописаны по умолчанию в маршрутизаторах, точках доступа Wi-Fi или камерах видеонаблюдения должны быть изменены после установки.
.png)