Зачем хакерам нужно взламывать IP камеры?

Распространенность IP-видеокамер и цели взлома

В прошлой нашей статье рассматривалась тема взлома IP-видеокамер с целью получения несанкционированного видео с нее и вывода из строя из хулиганских соображений. Но ваша IP-камера или NVR могут рассматриваться злоумышленниками не как цель, а как ресурс для других задач, например, такой хайповой темы, как майнинг биткоинов или организация дальнейшей атаки на другие ресурсы.

Согласно данным компании IHS, в 2014 г. в мире было более 245 млн видеокамер при темпах роста примерно в 13,7%. Получается, что на сегодняшний день в мире более 360 млн видеокамер, применяемых в безопасности. Из них примерно 20% подключены к интернету, что дает 72 млн потенциальных целей для атаки или довольно объемного ресурса для осуществления дальнейших атак.

В частности, IP камера как еще один из элементов IoT (интернета вещей) включает в себя Unux компьютер, при этом довольно мощный и достаточно широко распространенный в силу нескольких факторов:

1. Упрощение систем видеонаблюдения и повышение гибкости с развитием облачных и р2р технологий с доступом через мобильные устройства.
2. Снижение средней цены на IP-камеру с $500 в 2010 г. до $ 130 в 2015-м, а не сегодня опустившейся ниже $80.
3. Широкое внедрение видеонаблюдения не только в промышленности, но и в общественной безопасности, малом бизнесе и частном секторе отчасти как следствие снижения цены.

То есть в мире сегодня появилось огромное количество автономных компьютеров, значительная часть из которых подключена к интернету. При этом можно выделить три потенциальных последствия реализации угрозы взлома вашей IP-камеры:

1. Во-первых, злоумышленник может получить доступ к той информации, которую записывает камера, и получать изображения и конфиденциальную информацию о компании или частной жизни, не обнаруживая себя.
2. Во-вторых, IP-камера может быть взломана для того, чтобы транслировать поддельную картинку либо в нужное время вообще перестать передавать видео в систему безопасности.
3. В-третьих, она может быть взломана для нанесения вреда третьим лицам, так как и другие 1оТ-устройства, IP-камеры уязвимы перед специальными вредоносными программами.

Третий пункт фактически описывает идею более изощренного способа использования ваших ресурсов. Даже в том случае, если ваша личная жизнь (изображение с видеокамеры) злоумышленнику не интересна, вы все равно в зоне риска. Вероятной целью может являться не видео, а программно-аппаратные ресурсы вашей IP-камеры или NVR, которые с помощью некоторых инструментов превращаются в средство для дальнейших атак или монетизации или еще каких-то, как правило, противоправных действий (например, для атаки на сайт сторонней компании).

Зачем нужен захват контроля над IP-камерой?

Один из вариантов использования вашей IP-камеры злоумышленниками – создание ботнет-сети.
Предлагаю рассмотреть эту тему подробнее, чтобы понять, как это работает и зачем оно нужно злоумышленникам, – это поможет вам понять, какие действия необходимо предпринять, чтобы обезопаситься. Для начала определимся с терминами.

Ботнет (англ, botnet, произошло от слов robot и network) – сеть, состоящая из некоторого количества компьютеров с запущенными ботами. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера. Обычно используются для нелегальной или неодобряемой деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DoS- и DDoS-атаки).

Итак, что такое ботнет, мы понимаем, что такое рассылка спама и подбор паролей – вполне очевидно даже обывателю, а что же такое DoS- и DDoS-атака?

DoS (Denial of Service – отказ в обслуживании) – хакерская атака на вычислительную систему с целью довести ее до отказа, т. е. создать такие условия, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ затруднен. Отказ вражеской сис-темы может быть и шагом к овладению этой системой (если в нештатной ситуации ПО выдает какую-либо критическую информацию, например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, например, остановка транзакций или блокирование страницы оплаты услуг провайдера и меры по уходу от атаки ощутимо бьют цель по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DOoS-атаке (от англ. Distributed Denial of Service, распределенная атака типа отказ в обслуживании). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищенной крупной компании или правительственной организации.

Основные методы DDoS-атак

Как правило, реализация идет по какому-либо из трех известных методов организации DDoS-атаки.

1. По полосе пропускания – этот вид атаки подразумевает, что на веб-сайт направляется большое количество запросов по протоколам HTTP и, таким образом, полностью заполняет его пропускную способность, вызывая при этом отказ в обслуживании обычных посетителей данного интернет-ресурса.
2. На основе протокола сервера – такой вид атаки направлен на конкретные сервисы сервера. Может выполняться с помощью интернет-протоколов. Часто такие атаки называют SYN-флуд, смысл которых в отсылке на веб-сервер большого количества SYN-запросов, на которые сервер должен ответить запросом ASK. Из-за большого количества таких запросов сервер часто не справляется с обработкой большого объема данных и падает, т. е. выходит из строя.
3. На основе ошибок конкретного веб-сайта – этот вид атаки является самым сложным в плане исполнения и применяется, как правило, высокопрофессиональными хакерами. Суть его состоит в том, что на сайте-жертве находятся уязвимости, используя которые создается высокая нагрузка на сервер и он получает отказ в обслуживании.

Как же хакеры организовывают такого рода атаки? Разберемся по шагам.

Создание бойца ботнета – подконтрольного хоста

Для того чтобы провести DDoS-атаку, необходимо создать ботнет с помощью заражения устройства. Именно для этого и нужно подобрать пароль к Ы-устройству, как, например, игровой приставке, умному принтеру, вашей IP-камере или NVR. При этом тип устройства нужен злоумышленниками только для того, чтобы получить инструмент для дальнейшей атаки. Попробуем понять, как это происходит.

Для получения контроля над IP-видеокамерой нужно знать как минимум два пункта для входа: IP-адрес и логин/пароль учетной записи. Однако на практике IP-адреса вряд ли можно назвать секретом. Они легко обнаруживаются сканерами сети, к тому же камеры откликаются на запросы поисковых роботов. При этом даже с настроенным логином и паролем доступ к камере зачастую можно получить по прямой ссылке типа /index.htm и после этого изменить логин/пароль без авторизации.

Итак, сначала нужно найти эти самые IP-видеокамеры или NVR, сделать это можно либо спецзапросами в популярных поисковиках или в специальных поисковиках для IoT.

После того как вы нашли потенциальную жертву, необходимо получить доступ, обычно применяются несколько вариантов:

1. Недоработка производителя – на IP-камере вообще не установлен пароль, некоторые производители допускают и такое использование их оборудования.
2. Халатность – пользователь просто не сменил заводской логин и пароль. Это самый распространенный вариант захвата контроля над устройством.
3. Использование уязвимости прошивки IP-видеоустройства – этот метод связан с тем, что большинство IP-видеокамер имеют на борту дырявый веб-сервер GoAhead.

Следующий этап после получения контроля над устройством – внедрение программного кода, чтобы удаленно управлять этим хостом. После повторения этой последовательности действий N количество раз вы получаете ваш личный ботнет, состоящий из N устройств подконтрольных вам.

Конечно, необходимо понимать, что все методики и ресурсы пред-ставлены здесь только в ознакомительных целях, нив коем случае не являются руководством к действию и служат исключительно для лучшего понимания методологии процесса атаки и возможности выстроить качественную защиту от подобного нападения.

Крупнейшая ботнет-сеть, созданная на практике

В сентябре 2016 г. после публикации статьи о группировках, продающих услуги ботнетов для осуществления DDoS-атак, сайт журналиста Брайана Кребса (Brian Krebs) стал жертвой DDoS- атаки, трафик которой на пике достиг 665 Гб/с, это одна из самых мощных известных DDoS-атак. Сайт пришлось на некоторое время закрыть. Как выяснилось позже, атака была осуществлена ботнетом из зараженных IP-видеокамер, являющихся подмножеством интернета вещей. В октябре того же года злоумышленники опубликовали исходные тексты использованного вредоносного ПО, известного теперь под названием Mirai.

Исследования показали, что по состоянию на 23 сентября, когда атака достигла пика интенсивности, в интернете можно было найти более 560 000 устройств, уязвимых к атакам с целью создания ботнета.

Далее, уже через месяц, по данным ESSET NOD32, заметная часть глобальной сети интернет несколько часов работала с перебоями. У многих пользователей наблюдались проблемы с доступом к самым известным сервисам загрузки и просмотра видео и социальной сети. Возникает вопрос: кем была реализована столь масштабная DDoS-атака и на кого была направлена? Одним из первых информацию об инциденте опубликовал опять же журналист Брайан Кребс, указав, что причиной столь масштабного сбоя послужила DDoS-атака на известную американскую компанию Dyn, которая предоставляет DNS-сервис для ключевых американских организаций. Позже специалисты выяснили, что DDoS-атака была организована с использованием того же самого крупнейшего ботнета Mirai.

Зачем нужно DDoSить?

Зачем, в принципе, нужна DDoS-атака? DDoS-атаки являются одним из самых эффективных и популярных методов недобросовестной конкуренции. Например,перед праздниками и в зависимости от времени года DDoS-атакам подвергаются различные сферы онлайн-бизнеса. Осенью и весной атакам подвергаются интернет-магазины по продаже шин, 14 февраля и 8 Марта – цветочные магазины. А периоды избирательных кампаний и выборов для организаторов DDoS-атак становится золотым временем. В такие периоды атакам подвергаются новостные и политические ресурсы.

Киберпреступники, которые проводят DDoS-атаки, всегда ставят своей целью обрушить атакуемый сайт. При этом они используют ботнет-сеть, которая может объединять в своем составе сетевые серверы, настольные компьютеры и другие устройства, подключенные к интернету. Они всегда ищут для этого легкодоступные объекты, обычно настольные компьютеры, к которым им удастся получить доступ, и затем атакуют вас.
В некоторых случаях атакующие используют комбинированные виды атаки для того, чтобы с высокой степенью вероятности преодолеть возможную защиту потенциальной жертвы.

Как защититься от кибератак? Несколько простых рекомендаций для обычных пользователей:

1. Даже в случае таких низкоуровневых устройств, как IP-видеокамеры, всегда нужно менять заводские логины и пароли доступа, также менять стандартные порты доступа. Хотя у нас пока не известны случаи заражения вредоносными программами сети из умных холодильников, но за годы наблюдений попадались ботнеты на основе интернета вещей. .Камеры наблюдения – одни из самых популярных устройств и часто становятся средством атак.
2. Конечно же, логины/пароли для разных ваших сервисов и устройств должны отличаться и не быть простейшими типа 12345 или QWERTY.
3. Настроить хотя бы штатные средства любого домашнего мар-шрутизатора, а именно фильтрацию внешних подключений по MAC адресу, тот же самый логин и пароль, чтобы ограничить доступ из/вне к вашей внутренней сети.
4. Своевременно обновлять прошивки как сетевых устройств так и имеющегося у вас оборудования. Ведь при обнаружении уязвимостей производители, как правило, довольно оперативно реализуют новые прошивки с устраненной уязвимостью.

Вместо заключения

Надеюсь, что данная статья позволит лучше понять методологии злоумышленников, а также высветит важность даже простейших мер безопасности, также как и угроз, которые несут подключенные к сети устройства с заводскими паролями. Даже в момент, когда я пишу эту статью, параллельно читаю о ещё одной DDoS-атаке из интернета вещей, в этот раз от ботнета основе домашних NAS-серверов. Да, ваш NAS, обеспечивающий вас фильмами через torrent-сети, параллельно вполне может участвовать во взломе сервера Министерства обороны или ещё каких-нибудь нехороших действиях без вашего ведома. И да, вы угадали, их тоже взломали через прямой перебор паролей со словарем.

Впервые компания Incapsula сообщила о начале тренда взлом интернет-камер еще в марте 2014 г. Тогда выяснилось что активность ботнетов внутри наблюдаемой компанией сети за год выросла на 240%. Интересно, что мотивы атак остались неизвестны. Не удалось ничего узнать и о самих злоумышленниках, совершивших атаку.

Эксперты по информационной безопасности призывают интеграторов и конечных пользователей начать относиться к киберзащите камер видеонаблюдения более серьезно. Там, где это возможно нужно изолировать камеры от интернета. В любом случае следует по меньшей мере, менять пароли для доступа к камерам, убирая те, которые изначально установлены производителем, – это из разряда must do.