Исследователи компании Sucuri обнаружили ботнет, который начал проявлять активность в последние пару недель. По данным аналитиков, ботнет используется преимущественно для осуществления DDoS-атак Layer 7 и состоит из 25 000 устройств, большинство из которых — это камеры видеонаблюдения.
Впервые специалисты Sucuri столкнулись с данным ботнетом, когда к ним обратились владельцы ювелирного магазина, попавшие под DDoS-атаку. Когда сайт пострадавших был перемещен за WAF Sucuri, эксперты ожидали, что с проблемой будет покончено, но злоумышленники сумели их удивить.
Сначала мощность Layer 7 DDoS-атаки составляла 35 000 HTTP-запросов в секунду, но как только злоумышленники поняли, что владельцы сайта поработали над защитой, они усилили напор, и атака достигла мощности в 50 000 запросов. Исследователи отмечают, что для атак типа Layer 7 — это очень большое значение, и атака такой силы способна вывести из строя практически любой сервер. Хуже того, нападающие способны поддерживать мощность на таком уровне многие дни.
Эксперты Sucuri пишут, что большая часть ботов, судя по всему, находится в онлайне постоянно. Исследователи выявили 25 513 уникальных IP-адресов, имеющих отношение к ботнету. Некоторые адреса даже относятся к IPv6. Большинство зараженных устройств оказались не компьютерами, но камерами видеонаблюдения из 150 стран мира. Почти четверть зараженных девайсов находятся на Тайване, также большое количество инфицированных устройств было замечено в США, Индонезии, Мексике и Малайзии.
Специалистам удалось установить, что 46% зараженных устройств — это CCTV-системы, принадлежащие H.264 DVR бренду. Среди других скомпрометированных производителей названы ProvisionISR, Qsee, QuesTek, TechnoMate, LCT CCTV, Capture CCTV, Elvox, Novus и MagTec CCTV. Эксперты сообщают, что все эти устройства могут быть связаны с инцидентом, который в марте 2016 года обнаружил и начал расследовать исследователь Роберт Кернер. Напомню, что тогда Кернер заметил, что камеры 70 разных вендоров поставляются с бекдором в прошивке. Все эти устройства были приобретены у китайской компании TVT, которая отказалась давать какие-либо комментарии и устранять проблему.
Фото: Lydia