Исследователи компании Sucuri обнаружили ботнет, который начал проявлять активность в последние пару недель. По данным аналитиков, ботнет используется преимущественно для осуществления DDoS-атак Layer 7 и состоит из 25 000 устройств, большинство из которых — это камеры видеонаблюдения.

Впервые специалисты Sucuri столкнулись с данным ботнетом, когда к ним обратились владельцы ювелирного магазина, попавшие под DDoS-атаку. Когда сайт пострадавших был перемещен за WAF Sucuri, эксперты ожидали, что с проблемой будет покончено, но злоумышленники сумели их удивить.

Сначала мощность Layer 7 DDoS-атаки составляла 35 000 HTTP-запросов в секунду, но как только злоумышленники поняли, что владельцы сайта поработали над защитой, они усилили напор, и атака достигла мощности в 50 000 запросов. Исследователи отмечают, что для атак типа Layer 7 — это очень большое значение, и атака такой силы способна вывести из строя практически любой сервер. Хуже того, нападающие способны поддерживать мощность на таком уровне многие дни.

Страны, из которых происходили HTTP-запросы

Эксперты Sucuri пишут, что большая часть ботов, судя по всему, находится в онлайне постоянно. Исследователи выявили 25 513 уникальных IP-адресов, имеющих отношение к ботнету. Некоторые адреса даже относятся к IPv6. Большинство зараженных устройств оказались не компьютерами, но камерами видеонаблюдения из 150 стран мира. Почти четверть зараженных девайсов находятся на Тайване, также большое количество инфицированных устройств было замечено в США, Индонезии, Мексике и Малайзии.

Специалистам удалось установить, что 46% зараженных устройств — это CCTV-системы, принадлежащие H.264 DVR бренду. Среди других скомпрометированных производителей названы ProvisionISR, Qsee, QuesTek, TechnoMate, LCT CCTV, Capture CCTV, Elvox, Novus и MagTec CCTV. Эксперты сообщают, что все эти устройства могут быть связаны с инцидентом, который в марте 2016 года обнаружил и начал расследовать исследователь Роберт Кернер. Напомню, что тогда Кернер заметил, что камеры 70 разных вендоров поставляются с бекдором в прошивке. Все эти устройства были приобретены у китайской компании TVT, которая отказалась давать какие-либо комментарии и устранять проблему.