Хакеры «зомбировали» 900 камер наблюдения для организации DDoS-атак

Американская компания Incapsula, занимающаяся безопасностью IT-компаний и отдельных сервисов, зарегистрировала ботнет из около 900 IP-камер, с помощью которых злоумышленники организовали масштабную DDoS-атаку. Об этом представители компании рассказали в корпоративном блоге.

Камеры наблюдения в Маргите, Англия. Фото only lines

Когда именно произошла атака, неизвестно: не называют представители Incapsula и цель, обозначив её лишь как «редко используемый актив облачного сервиса, используемого миллионами человек по всему миру».

В атаке участвовали 900 подключённых к интернету камер, находящихся в разных странах, в том числе несколько десятков в России. Уязвимость находилась не в самих устройствах, а в BusyBox — интерфейсе на основе UNIX для встроенных в камеры ОС Linux.

Сканируя сети, хакеры определяли, какие из камер имели открытые порты Telnet/SSH, и взламывали их через прямой перебор паролей с использованием словаря.

Такая сеть «зомбированных» подключённых к интернету устройств позволяла хакерам отправлять около 20 тысяч запросов в секунду для организации DDoS-атаки. При этом логи камер показали, что доступ к ним получали с IP-адресов, имеющих разную географию: как предполагают исследователи, это свидетельствует о крайне низкой сложности взлома.

Атака протекала в постоянном режиме. Выяснив, что одна из подвергнутых взлому камер находилась неподалёку от офиса Incapsula, специалисты компании отправились для её проверки: устройство до последнего посылало GET-запросы к сервису-жертве.

В Incapsula лишний раз напомнили о том, что даже в случае таких низкоуровневых устройств, как интернет-камеры, всегда нужно менять заводские коды доступа.

Хотя у нас пока не было возможности перехватить вредоносные программы, заражавшие сети из холодильников, за годы мы видели ботнеты на основе «интернета вещей». Камеры наблюдения — одни из самых популярных [устройств, становящихся целью атак].

[…] Надеемся, наша история станет поучительным примером важности простейших мер безопасности — так же как и угрозы, которую несут небезопасные подключённые к сети устройства. Даже в тот момент, когда мы пишем эту статью, мы разбираемся с ещё одной DDoS-атакой из «интернета вещей», в этом раз от ботнета на основе NAS-серверов. И да, вы угадали, их тоже взломали через прямой перебор паролей со словарём.

Incapsula

Впервые фирма сообщила о начале тренда на взлом интернет-камер ещё в марте 2014 года. Тогда выяснилось, что активность ботнетов внутри наблюдаемой компанией сети с 2013 года выросла на 240%.

По данным IHS Technology, в 2014 году в мире было порядка 245 миллионов камер безопасности, причём подключение к сети имели порядка 20%. Около 65% всех работающих устройств приходилось на азиатский рынок.