Современные ботнеты давно устанавливаются на разные бытовые приборы, включая телевизоры и холодильники. С распространением Интернета вещей такое происходит все чаще. Иногда эти истории отличаются особым шармом. Например, неделю назад Йоханнес Ульрих (Johannes Ullrich) из технологического института SANS рассказал о странном трафике на исследовательских хостах: к порту 5000 пытались подключиться видеомагнитофоны, а именно — видеомагнитофоны Hikvision DVR, которые предназначены для записи видео с камер наружного наблюдения.
То есть продукт, изначально созданный для обеспечения безопасности, оказался взломан и использовался в банальном ботнете.
Сейчас Ульрих с коллегами сумели определить, какой конкретно зловред установлен на DVR. Анализ еще не закончен, но это несколько ARM-бинарников, в том числе биткоин-майнер D72BNr и http-агент mzkk8g, аналогичный по функциональности curl/wget.
Заражение видеокамер, скорее всего, осуществлялось по telnet по указанному порту 5000 через рутовый пароль по умолчанию (12345). Каждое зараженное устройство сканировало диапазон адресов в поиске уязвимых устройств, и отправляло информацию о таковых на хост 162.219.57.8 (эксплойт, вероятно, должен был прийти позднее).
Скачать образец зловреда для изучения можно по ссылке: https://isc.sans.edu/diaryimages/hikvision.zip (пароль: infected).