Специалисты компании Trend Micro обнаружили новый IoT-ботнет, который атакует более 1000 различных моделей камер, используя известные уязвимости, а затем задействует зараженные устройства для проведения DDoS-атак.

Аналитики пишут, что при помощи поисковика Shodan им удалось выявить 122 069 уязвимых перед атаками Persirai устройств, большая часть из которых, как видно на иллюстрации ниже, находятся в Китае, Таиланде и США.

Исследователи объясняют, что обычно IP-камеры — это UPnP-устройства, то есть они могут открывать порты роутера и вести себя как сервер, что делает их заманчивой мишенью для преступников. Чаще всего злоумышленники получают доступ к веб-интерфейсу уязвимых девайсов через 81 TCP-порт, осуществляют command injection и заражают камеру малварью. Причем после заражения вредонос удаляет себя, сохраняясь исключительно в памяти устройства, а также переадресует ftpupdate.sh и ftpupload.sh на /dev/null, чтобы не дать «конкурентам» перезаразить камеру чем-либо еще.

По данным Trend Micro, в настоящее время ботнет используется преимущественно для проведения DDoS-атак: обычного UPD-флуда, а также UDP с использованием SSDP-пакетов без спуфинга IP-адреса. При этом боты обращаются к управляющим серверам load.gtpnet.ir, ntp.gtpnet.ir, 185.62.189.232 и 95.85.38.103. Таким образом, Persirai удалось проследить до Ирана, а исследователи также отмечают, что обнаружили в коде малвари символы на персидском.



1 комментарий

  1. Themistocles

    11.05.2017 at 19:04

    И не видно им конца и края

Оставить мнение