Botnet med CCTV-kameror användes i attacker

Traditionellt så har kapade servrar använts vid attacker med hjälp av botnet men visar det sig att även nätkameror, CCTVkameror, kan användas för överbelastningsattacker.

I den senaste serien attacker så har över 25 000 kameror kopplats ihop och använts. Kamerorna användes för att skicka över 35 000 datapaket till en och samma webbplats, per sekund. Attacken har utretts av säkerhetsföretaget Sucuri. Offret visade sig vara en mindre juvelerare så det är möjligt att attacken var en test för en kommande, större attack.

It all started with a small brick and mortar jewelry shop that signed up with us to help protect their site from a DDoS that had taken them down for days. By switching their DNS to the Sucuri Network, we were able to quickly mitigate the attack for them. It was a layer 7 attack (HTTP Flood) generating close to 35,000 HTTP requests per second (RPS) whoch was more than their web servers could handle.

Normally, this would be the end of the story. The attack would be mitigated, the attackers would move on after a few hours, and the website owner would be happy. In this case however, after the site came back up, the attacks increased their intensity, peaking to almost 50,000 HTTP requests per second. It continued for hours, whoch turned into days.

Sucuri

Hackas

Kamerorna är enklare, serietillverkade och innehåller samma mjukvara. En mjukvara där det finns gamla, kända buggar som aldrig åtgärdats. Kamerorna har satts upp, tagits i drift och sedan har de funnits på nätet som tillgängliga resurser för den som vet hur mjukvaran ska hackas.

Det är inte helt klarlagt hur kamerorna har kapats och kopplats samman. Det finns en teori om att en bugg som hittats i närmare 70-talet tillverkares kameror kan ha exploaterats men det har inte kunnat styrkas.