По оценке исследователей, ботоводы скомпрометировали более миллиона потребительских видеокамер и цифровых видеорегистраторов (DVR), подключенных к Интернету, и используют их для проведения DDoS-атак. Согласно Level 3 Communications, эти устройства заражены зловредом, известным как Lizkebab, BASHLITE, Torlus или Gafgyt, и для проведения атак объединены в ботнеты.

«Результаты исследования нас поразили, — признается Дейл Дрю (Dale Drew), возглавляющий ИБ-исследования в Level 3. — Мы выбрали достаточно известные, рядовые ботнеты и постарались как следует их изучить. Как оказалось, нас ждали большие сюрпризы. Так, к примеру, обнаружилось, что вредоносное ПО BASHLITE связано с ботнетами, которые гораздо лучше организованы и структурно оформлены, чем мы прежде полагали».

По данным Level 3, в распоряжении BASHLITE имеется переменное количество командных серверов и ботнетов, размеры которых еженедельно меняются. Так, в июле C&C, ассоциируемые с этим небольшим вредоносным семейством, общались лишь с 74 ботами, но вскоре число последних возросло до 120 тыс. Как отметил Дрю, более тщательный анализ BASHLITE выявил большой ботнет, управляемый с помощью почти сотни C&C-серверов. Некоторые из них регистрировали более 100 DDoS в сутки, хотя продолжительность 75% атак составляла не более пяти минут.

«Мы поняли, что все заблуждаются, думая, будто некоторые с виду небольшие ботнеты не обладают достаточными размерами и мощью, чтобы нанести ощутимый ущерб, — говорит Дрю. — При поверхностном взгляде на эти ботнеты видны лишь отдельные части общей картины, так как каждый ботнет сильно фрагментирован».

В своем отчете исследователи из Level 3 отметили, что распространением BASHLITE занимаются группы хакеров вроде Lizard Squad и Poodle Corp., которые все чаще атакуют IoT-устройства для построения ботнетов, проведения DDoS и продажи услуг по организации таких атак. «После получения доступа к устройству инструмент атакующего не заботится об определении его архитектуры, — пишут авторы отчета. — Он сразу приступает к исполнению команд busybox wget и wget, чтобы извлечь полезную нагрузку DDoS-бота. После этого он пытается запустить многочисленные версии зловреда, ориентированные на разные архитектуры, до тех пор, пока одна из них не исполнится».

По оценке Level 3, 96% обнаруженных зараженных устройств относятся к классу IoT (на 95% это видеокамеры и DVR), около 4% — это домашние роутеры, менее 1% — скомпрометированные Linux-серверы. «Это показательный и радикальный сдвиг в составе ботнетов в сравнении с серверными и роутерными DDoS-сетями, наблюдаемыми ранее», — констатируют исследователи.

Большинство ботов, задействованных в атаках, расположены на Тайване, в Бразилии и Колумбии. Основной мишенью атакующих, по данным Level 3, являются DVR, используемые в охранных системах видеонаблюдения, так как они считаются весьма уязвимыми. Во многих по умолчанию активированы Telnet и веб-интерфейсы, также они используют дефолтные учетные данные. «Большинство этих устройств работают с тем или иным видом встроенной Linux, — добавляют авторы отчета. — Они также обладают большой пропускной способностью, необходимой для передачи видео, и как DDoS-боты составляют весьма могучий класс».

Эксперты Flashpoint, помогавшие Level 3 расследовать деятельность BASHLITE, отметили, что наблюдения за 200 центрами управления, связанными с данным вредоносным семейством, велись в течение нескольких последних месяцев. В отличие от более сложных зловредов, BASHLITE использует IP-адреса C&C, жестко прописанные в коде, и зачастую оперирует одним-единственным IP, что облегчает задачу ИБ-исследователям. «Ботоводов, похоже, это не заботит, так как поднять новый C&C очень просто, как и вновь скомпрометировать боты», — пишут исследователи.

В большинстве случаев DDoS, наблюдаемые Level 3 с ботнетов BASHLITE, проводятся как простой UDP или TCP flood, однако за последний месяц атаки на уровне TCP стали более редкими. «Хотя данный зловред поддерживает подмену адресов источника, мы редко видим, чтобы он ее использовал, — отмечено в отчете. — Некоторые варианты также поддерживают HTTP-атаки, с полным подключением к серверам жертвы».

Примечательно, что большинство зараженных устройств производят лишь несколько компаний; по всей видимости, эти вендоры небрежно реализуют стандарты кибербезопасности в своих IoT-продуктах либо вообще их игнорируют. В своем отчете Level 3 назвала одного такого производителя — Dahua Technology, который уже извещен о проблеме и готовит патч.

DDoS-атаки с ботнетов на камерах видеонаблюдения были замечены и ранее. Так, в начале лета Sucuri сообщила об обнаружении небольшой активной бот-сети, состоящей из 25 тыс. CCTV-устройств, а чуть позже Arbor Networks опубликовала новые данные о ботнете LizardStresser, в состав которого на тот момент входили порядка 1,3 тыс. веб-камер, совокупно способных проводить атаки мощностью до 400 Гбит/с.

Категории: DoS-атаки, Аналитика, Вредоносные программы