Обнаружен ботнет из 900 камер видео-наблюдения

Компания Incapsula обнаружила ботнет из около 900 IP-камер, с помощью которых владельцы ботнета организовали масштабную DDoS-атаку. После детального изучения оказалось также, что для доступа к настройкам большинства камер используются дефолтные связки логин/пароль (что вовсе не удивительно, масштаб этой проблемы огромен).

Взлом, о котором идет речь, был осуществлен между между 23 декабря 2013 года и 6 января 2014 года. Гаджеты, составляющие ботнет, 3 раза в день отправляли письма пакетами в 750 тысяч за раз со 100 тысяч устройств предприятиям и частным лицам по всему миру.

Атака состояла в использовании HTTP GET floods с пиковым показателем в 20000 запросов. Этот трафик генерировали всего 900 камер наблюдения со всего земного шара. Все взломанные устройства работали на Linux с BusyBox — пакете Unix-утилит, собранных в единый пакет, и предназначенных для устройств с ограниченными ресурсами.

Malware оказался ELF-бинарник для ARM, один из вариантов ELF_BASHLITE. Это malware сканирует сетевые устройства с BusyBox, отыскивая Telnet/SSH сервисы, которые просто взломать путем брутфорса по словарю.

В данном случае malware обладало возможностью самостоятельно запускать HTTP Get flood DDoS атаки со скомпрометированных девайсов. Доступ к взломанным камерам осуществлялся из различных мест, что может говорить о работе нескольких человек.