ИБ-исследователи наблюдают рост количества сканов порта 8000; первый всплеск был зафиксирован 16 февраля. Инициаторами этой активности являются операторы ботнета на основе Fbot, которые пытаются внедрить обновленного зловреда в IP-камеры, использующиевидеорегистраторы производства HiSilicon.

О существовании Fbot интернет-сообщество впервые узнало в сентябре прошлого года. На тот момент конечная цель ботоводов была неясна: проникнув на смартфон или IoT-устройство, новоявленный бот лишь отыскивал и вычищал с него криптомайнер ADB.Miner. Анализ образцов Fbot показал сходство с вредоносной программой Satori, в том числе наличие таких же механизмов для проведения DDoS-атак (в данном случае эта функциональность была отключена).

Авторы находки тогда посчитали, что создатели нового бота либо борются с криптоджекингом, либо просто освобождают пространство для развития атаки. Похоже, второе предположение оказалось ближе к истине. Текущая киберкампания явно имеет целью наращивание потенциала ботнета за счет заражения IoT-устройств. Fbot был переориентирован на IP-камеры с начинкой конкретного производителя (HiSilicon — один из ведущих поставщиков мультимедийных устройств и компонентов на базе микропроцессоров ARM). Для доставки обновленного бота злоумышленники используют эксплойт к некой уязвимости в протоколе DVR-IP, также известном под именами NetSurveillance и Sofia.

На настоящий момент экспертам удалось выявить 24 528 IP-адресов с признаками заражения. Активные источники сканов разбросаны по всему миру, с наибольшей концентрацией на Тайване (2110), в Таиланде (1459), Бразилии (1276) и Турции (1137). В Индии, Иране и России популяция Fbot несколько меньше, но тоже значительна (942, 892 и 862 соответственно). США в этом рейтинге занимают 15-е место с показателем 328.

Цепочка заражения в данном случае включает несколько этапов. Вначале резидентный бот выполняет сканирование TCP-портов 80, 81, 88, 8000 и 8080. Обнаружив пригодную цель, он сообщает ее IP-адрес и номер порта генератору отчетов (Reporter) на C&C-сервере, поднятом в сетях голландского хостинг-провайдера. Обработанные данные передаются программе загрузки (Loader), которая подключается к веб-порту видеокамеры и пытается выполнить вход, используя идентификаторы, заданные по умолчанию.

Получив отклик, Loader штурмует порт DVR-IP (TCP 34567) с помощью другой дефолтной пары логин – пароль. В случае успеха в ход идет эксплойт и открывается telnet-бэкдор, через который на устройство проникает загрузчик Fbot. Его единственная задача — скачать по HTTP зловреда все с того же C&C-сервера и запустить его на исполнение.

Целевая нагрузка, как показал анализ, закодирована с использованием двух разных шифров (один из них — XOR с однобайтовым ключом). Имя домена, по которому Fbot отыскивает центр управления, жестко прописано в коде. Бот способен проводить DDoS-атаки, используя техники TCP flood, ACK flood (двух видов) и HTTP flood (GET и POST).

18 февраля исследователи обнаружили, что ботоводы закрыли порт службы Reporter, и Loader теперь не в состоянии отдавать полезную нагрузку атакуемым смарт-устройствам.

Категории: Аналитика, Вредоносные программы, Уязвимости