IP-камеры используются для DDoS-атак
Разговоры о развитии Интернета вещей (IoT) не утихают, но в последнее время все чаще звучат опасения о том, какую серьезную проблему представляет эта новая парадигма с точки зрения безопасности.
По различным данным, к 2020 году к Интернету будут подключены десятки миллиардов устройств, но при этом участники индустрии только начали предпринимать первые шаги на пути к обеспечению должного уровня безопасности. Пока нарождающийся Интернет вещей страдает всеми «детскими болезнями», вероятность того, что даже не особенно компетентные хакеры смогут скомпрометировать IoT-устройства, весьма высока.
Хотя злоумышленники пока не начали писать специальные вирусы для умных холодильников и микроволновок, специалисты ИБ-компании Incapsula отметили, что IoT-устройства уже активно используются в ботнетах — чаще всего это камеры видеонаблюдения. Incapsula еще в 2014 году зарегистрировала 240-процентный рост объемов бот-трафика в Сети, в чем не последнюю роль сыграли скомпрометированные камеры.
Хотя IoT — мода недавних лет, камеры видеонаблюдения — это самые распространенные и давно используемые IoT-устройства. Уже в 2014 году в мире работало 245 млн камер, и это не включая приватные системы видеонаблюдения, установленные самостоятельно. Скорее всего, последних в мире тоже миллионы, и вряд ли они отличаются большей степенью безопасности, если даже профессиональные установщики систем наблюдения не всегда думают о защите камер от хакеров.
Огромное количество и доступность камер, а также низкая степень осведомленности владельцев о рисках, связанных с информационной безопасностью, делают подобные ботнеты серьезной угрозой.
Incapsula приводит в качестве примера ничем не примечательную DDoS-атаку на одного из клиентов, по мощности достигшую 20 тыс. запросов в секунду. Но затем вскрылся любопытный факт: IP-адреса некоторых устройств показали, что зараженные устройства находились совсем недалеко от офиса Incapsula. Специалисты буквально дошли туда пешком и удалили вредоносное ПО с жестких дисков устройств, которыми оказались камеры видеонаблюдения, продолжавшие дидосить жертву до последнего момента.
Мусорный бот-трафик пиковой мощностью 20 тыс. запросов в секунду, состоявший из HTTP-запросов, генерировался 900 камерами, а жертвой стал крупный провайдер облачных сервисов. Камеры, которые использовались для атаки, были скомпрометированы из-за того, что на всех использовалась заводская учетная запись. Все они были разбросаны по всему миру — еще одно подтверждение того, что взломать такие незащищенные устройства очень легко.
Все камеры работали на интегрированной ОС Linux с пакетом Unix-утилит BusyBox, упакованным в небольшой исполняемый файл. Зловредом оказался ELF-бинарник (.btce). Он представляет собой вариант вредоносной программы ELF_BASHLITE (Lightaidra, GayFgt), которая сканирует устройства, использующие BusyBox, на предмет незащищенных Telnet/SSH-сервисов, которые можно взломать, используя брутфорс. Конкретный вариант зловреда, обнаруженного Incapsula, также мог осуществлять DDoS-атаки типа HTTP flood, в ходе которых на целевые порты направляется множество GET-запросов.
В Incapsula надеются, что этот пример будет способствовать более ответственному отношению к безопасности IP-устройств. В условиях наступления эры всеобъемлющего Интернета это превращается в задачу первостепенной важности. Кстати, на момент написания статьи стало известно о точно такой же DDoS-атаке — на этот раз на базе NAS-накопителей.
Автор: Валерия Титова
Источник: Threatpost