Támadásra készek a kínai kamerák

Egyre több sérülékeny IP- és webkamerát fognak hadra a kiberbűnözők. Gyártói frissítések, sőt sokszor elérhető gyártók hiányában a védekezés nem könnyű feladat.
 

Április közepén Pierre Kim kutató több olyan biztonsági hibára hívta fel a figyelmet, amelyek különféle IP- és webkamerák esetében jelentenek veszélyt. A sérülékenységeket már csak azért sem szabad félvállról venni, mivel kiderült, hogy azok legalább 1200 különféle kameratípus esetében okozhatnak problémákat. Vagyis széles körű károkozásokat tehetnek lehetővé, és jogosulatlan kódfuttatást, hátsó kapuk létesítését, engedély nélküli streamelést is elősegíthetnek. Mivel már a sebezhetőségek kihasználásához szükséges exploitok is napvilágot láttak, ezért csak idő kérdése volt, hogy a kiberbűnözők aktívan elkezdik kihasználni az azokban rejlő lehetőségeket.
 
Nincsenek véletlenek
 
A webkamerákkal történő visszaélések első jelei nem sokkal a biztonsági hibák publikálását követően láthatóvá váltak. A SANS Technology Institute a hónap közepén jelezte, hogy gyanúsan sok támadási kísérlet indul a 81-es porton. Akkor ugyan még nem lehetett tudni, hogy a 81-es port köré csoportosított alvilági akciók webkamerák sebezhetőségeit célozzák, de a Qihoo 360 Network Security Research Lab (NetLab) legutóbbi vizsgálatai már ezt támasztották alá.  
Kiderült, hogy „fű alatt” egy egyre csak terebélyesedő botnet kialakítása kezdődött el. Az elkövetők sérülékeny, beágyazott GoAhead webszerverrel rendelkező kamerákat kezdtek felkutatni az interneten, és ha ilyen eszközre bukkantak, akkor a neten megjelent exploitok bevetésével megpróbálták azokat meghackelni. Ha sikerrel jártak, akkor különféle kódokat töltöttek le a kompromittált kamerákra.

Az új botnet kialakításában szerepet kapó kártékony kódok a korábban már kiterjedt támadásokban szerepet kapó Mirai kódjából is merítettek, de a kutatók szerint nem valószínű, hogy egyazon csoport állna a két botnet mögött. Az új károkozások ugyanis nem a 23/2323-as portok brute force módszerekkel történő hackelésére épülnek, ellenben felhasználják az 53-as, a 123-as és az 656-os portokat. Emellett az új botnet teljesen más kommunikációs megoldásokat alkalmaz a vezérlőszerverekkel történő adatcsere során. (Eddig iráni vezérlőszervereket sikerült leleplezni.)
 
Az új botnet az elmúlt napokban megérett arra, hogy egy éles bevetésen is részt vegyen. Elsőként egy orosz bank került célkeresztbe, amely ellen szolgáltatásmegtagadási támadás indult.  
Védekezési nehézségek
 
A botnet elleni védekezést jelentősen hátráltatja, hogy az elsősorban Kínából származó kameráknak sokszor még a valódi gyártójuk is ismeretlen. Így aztán nincs sok remény arra, hogy firmware frissítések jelennek meg a közeljövőben. A biztonsági szakemberek azt javasolják, hogy akik rendelkeznek interneteléréssel megspékelt kamerákkal, azok az alapértelmezett jelszavakat mindenképpen módosítsák, ezzel ugyanis csökkenthetők a kockázatok.