Специалисты немецкой компании ZeroBS зафиксировали волну DDoS-атак, которые исходят от небольшого ботнета, состоящего из IP-камер и принтеров.

Внимание ИБ-аналитиков привлекли необычные UDP-пакеты, передаваемые устройствами через порт 3702. Как показало изучение подозрительного трафика, он исходил от ботнета, который состоял из 5000 хостов, использующих для атаки протокол обнаружения WS-Discovery. Последний принят межотраслевой организацией ONVIF в качестве коммуникационного стандарта для IP-камер и другого IoT-оборудования.

Эксперты считают, что вредоносные кампании с применением подобных запросов могут быть очень опасны из-за возможности спуфинга источника и высокого коэффициента усиления.

WS-Discovery — идеальный инструмент для DDoS-кампаний, поскольку допускает подмену адреса источника запроса. Таким образом, злоумышленники могут передать на зараженный хост UDP-пакет, указав целевое устройство в качестве получателя ответа. Кроме того, возвращаемая последовательность данных имеет во много раз больший размер, чем исходная. По словам ИБ-специалистов, коэффициент усиления в атаках, основанных на WS-Discovery, может достигать 300 и даже 500 пунктов.

Нападения продолжались в течение августа. По сообщению специалистов, коэффициент усиления атак, характеризующий размер ответа по сравнению с исходным запросом, составлял от 30 до 100 пунктов. Первые кампании, использующие WS-Discovery, зафиксировал в мае этого года ИБ-специалист Такер Престон (Tucker Preston) — он сообщил о ряде DDoS-атак с показателем амплификации более 100.

Специалисты ожидают всплеск DDoS-атак с использованием WS-Discovery

По данным поисковика Shodan, в сети доступны 630 тыс. устройств, использующих порт 3702. Эксперты утверждают, что все эти хосты находятся под угрозой заражения и уже активно сканируются злоумышленниками — с 8 августа количество соответствующих поисковых запросов возросло в несколько раз.

Эксперты «Лаборатории Касперского» считают, что количество DDoS-атак за которыми стоят профессиональные киберпреступники, неуклонно растет. Об этом свидетельствует увеличение числа «умных» кампаний, использующих технически сложные методы. Во II квартале 2019 года количество таких инцидентов возросло на 32% по сравнению с аналогичным периодом 2018-го.

Категории: DoS-атаки, Хакеры