Arbor Networks наблюдает новую волну атак с DDoS-ботнета LizardStresser, в состав которого входят сотни видеокамер, доступных из Интернета. В текущем году спектр мишеней LizardStresser пока включает крупные бразильские банки и телекоммуникационные компании, правительственные учреждения и американские игровые веб-сервисы.

По свидетельству исследователей, исходные коды данного инструментария, написанные хактивистами из Lizard Squad, были выложены в открытый доступ в прошлом году. По всей видимости, этим воспользовалась некая криминальная группа, решившая построить свой ботнет. К июню эксперты насчитали более сотни командных серверов LizardStresser и порядка 1,3 тыс. веб-камер, с которых проводятся атаки мощностью до 400 Гбит/с.

Сетевые устройства, вовлеченные в данный ботнет, построены на микропроцессорах с архитектурой x86, ARM или MIPS, то есть на платформах, широко используемых в IoT. По данным Arbor, большинство IP-источников мусорного трафика прописаны во Вьетнаме или Бразилии. Проверка показала, что около 90% зараженных устройств доступны через интерфейс NETSurveillance WEB, обычно используемый при работе с видеокамерами. «Похоже, все эти камеры также роднит использование дефолтных настроек, облегчающих подбор юзернейма и пароля для получения telnet-доступа к камере», — комментирует Керк Солук (Kirk Soluk), сотрудник подразделения Arbor по исследованиям и разработкам в области ИБ (ASERT).

Исследователи полагают, что брутфорс-атаки на сетевые устройства с целью заражения проводятся также с LizardStresser, так как соответствующий код был включен в комплект исходников, опубликованных в Сети.

Оживший ботнет, по-видимому, достаточно обширен, так как DDoS-атаки большой мощности проводятся без применения техники отражения/усиления. «Примечательно, что подделки пакетов при этом не происходит, то есть трафик исходит с адресов отправителя, указанных в пакетах, и никаких протоколов, основанных на UDP, вроде NTP или SNMP, характерных для атак с усилением, не используется», — пишут эксперты в блоге.

LizardStresser приобрел широкую известность в начале прошлого года, когда было установлено, что этот ботнет использовался для проведения рождественских DDoS-атак против Xbox Live и PlayStation Network. В то время он состоял преимущественно из домашних роутеров. Использование с этой же целью доступных из Интернета видеокамер тоже, увы, не новость. Sucuri недавно обнаружила весьма внушительный ботнет из 25 тыс. CCTV-камер, с которых проводились атаки типа HTTP flood — уровня приложений.

Солук также не преминул отметить, что IoT-устройства становятся все более и более привлекательными мишенями для хакеров. Они зачастую используют облегченные версии Linux, лишенные всякой защиты. «Чтобы сэкономить время на разработку, производители IoT-устройств иногда повторно используют аппаратные и программные блоки в устройствах разного класса, — пишет также ASERT в отчете. — В результате на самых различных устройствах дефолтные пароли могут оказаться одинаковыми».

Категории: DoS-атаки, Аналитика