Специалисты компании Trend Micro обнаружили новый IoT-ботнет, который атакует более 1000 различных моделей камер, используя известные уязвимости, а затем задействует зараженные устройства для проведения DDoS-атак.

Аналитики пишут, что при помощи поисковика Shodan им удалось выявить 122 069 уязвимых перед атаками Persirai устройств, большая часть из которых, как видно на иллюстрации ниже, находятся в Китае, Таиланде и США.

Исследователи объясняют, что обычно IP-камеры — это UPnP-устройства, то есть они могут открывать порты роутера и вести себя как сервер, что делает их заманчивой мишенью для преступников. Чаще всего злоумышленники получают доступ к веб-интерфейсу уязвимых девайсов через 81 TCP-порт, осуществляют command injection и заражают камеру малварью. Причем после заражения вредонос удаляет себя, сохраняясь исключительно в памяти устройства, а также переадресует ftpupdate.sh и ftpupload.sh на /dev/null, чтобы не дать «конкурентам» перезаразить камеру чем-либо еще.

По данным Trend Micro, в настоящее время ботнет используется преимущественно для проведения DDoS-атак: обычного UPD-флуда, а также UDP с использованием SSDP-пакетов без спуфинга IP-адреса. При этом боты обращаются к управляющим серверам load.gtpnet.ir, ntp.gtpnet.ir, 185.62.189.232 и 95.85.38.103. Таким образом, Persirai удалось проследить до Ирана, а исследователи также отмечают, что обнаружили в коде малвари символы на персидском.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии