Хакеры больше года эксплуатируют уязвимость в китайских IoT-устройствах
Легкомысленный продавец из Китая, занимающийся видеорегистраторами, на текущий момент так и не пофиксил баг, который используют в собственных целях администраторы ботнетов IoT. Данный баг дает возможность киберпреступникам через интернет запускать любой код просто отправив запрос и получить администраторские права над устройством.
Уязвимость была найдена весной 2016 года экспертом Ротемом Кернером в прошивке продукции компании из Китая под названием TVT. Эта компания, как оказалось, не разработчик прошивки, а просто предоставляет услуги продажи. Получается, что вендоры производят закупку у компании девайсов, потом ставят собственные символики и производят продажу под разным брендом. Кернер обнаружил порядка семидесяти подобных продуктов с уязвимой прошивкой TVT. Эксперт пару раз пытался наладить связь с фирмой, но данный баг все еще не исправлен.
Самая первая крупнейшая ботсеть из девайсов на TVT была найдена летом прошлого года исследователями из фирмы Sucuri, и содержала в себе двадцать пять тысяч ботов для того, чтобы производить DDoS атаки общей мощность до пятидесяти тысяч запросов в секунду.
Руководствуясь докладом от Palo Alto, девайсы от TVT производят атаку новейшим троянским программным обеспечением Amnesia, которое создает из них крупнейшую ботсеть для атак DDoS. Amnesia разработана на платформе Tsunami для IoT девайсов на базе Linux. Новейший апдейт является первейшим вредоносным программным обеспечением для девайсов типа «Интернет вещей», которое может найти эмулятор. Прежде такой функционал предоставляли лишь только версии для Android и OS Windows.
Амнезия имеет функционал определения запуска на виртуальной машине, что делают обычно эксперты информационной безопасности. Если обнаружена виртуальная машина, то троянское программное обеспечение производит удаление всей файловой системы виртуальной машины.