Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

23 ноября 2015 г.

[инцидент] Conficker в полицейских видеокамерах

Киберинциденты, объединяющие IoT-риски, вторжение в систему поставок и могучего, но полузабытого сетевого червя, — большая редкость. Тем не менее именно с таким коктейлем столкнулся сервис-провайдер, купивший носимые видеокамеры, предназначенные для использования в полицейских подразделениях США.
В ответ на запрос Threatpost владелец компании iPower Technologies Джаррет Павау (Jarrett Pavao) заявил, что производитель пока не представил объяснения, каким образом зловред оказался на Martel Frontline Camera. В настоящее время сетевой интегратор iPower по заказу полиции разрабатывает облачный сервис для размещения видеоматериалов; для его тестирования у калифорнийской компании Martel Electronics были куплены две портативные видеокамеры стоимостью $499.
«При подключении одной из них наши антивирус и сетевой экран сразу задетектили Conficker и забили тревогу, — рассказывает Павау. — Мы решили, что это ложное срабатывание: ведь новая камера не может быть зараженной. Тем не менее, когда мы загрузили образец на VirusTotal, все 40 фильтров подтвердили, что это Conficker».
Павау решил проверить вторую видеокамеру, но в лабораторных условиях, используя виртуальную машину и анализатор Wireshark. «Зловред сразу принялся за дело, атакуя другие машины в лабораторной сети, пытаясь проникнуть в общие папки, подбирая пароли, — продолжает свой рассказ эксперт. — Он также запросил IP-адреса Китая и Бразилии».
полицейская видеокамера - тестирование
Зафиксированный Wireshark сеанс связи был записан на видео.
Павау отправил в Martel Electronics письмо и связался по телефону со службой поддержки, однако производитель с тридцатилетним стажем усомнился в правдивости сообщения. «Они сказали: «Этого просто не может быть», — сокрушается глава iPower. — Они даже не допустили мысли, что в камере может оказаться какой-то софт».
Дело в том, что Martel поставляет программное обеспечение на отдельном CD-диске, чтобы облегчить передачу файлов между видеокамерой и ПК. Павау попытался убедить вендора, что это не розыгрыш, но попытка оказалась тщетной: «В Martel заявили, что все видеокамеры они производят сами. Следовательно, остается предположить, что виновник — средства цифровой записи видеокамеры. Вполне возможно, что у их производителя отсутствует контроль качества».
Как показывает печальная практика, вредоносное ПО может быть внедрено на любом этапе цикла производства и сбыта. Однако в данном случае речь идет о Conficker, появившемся семь лет назад и давно взятом под контроль. «Не исключено, что средства записи, поставляемые субподрядчиком, были заражены давно и в итоге попали в камеры», — гадает Павау. В Martel не смогли подтвердить это предположение. Три телефонных звонка и электронное письмо Threatpost тоже остались без ответа.
Сетевой червь Conficker, он же Downadup (продукты «Лаборатории Касперского» детектируют его как Net-Worm.Win32.Kido), известен с 2008 года; он настолько стремительно распространялся по локальным сетям через сменные носители, файлообмен, папки общего доступа, что в кратчайшие сроки сумел заразить миллионы машин. Используемая Conficker уязвимость (CVE-2008-4250) была оперативно закрыта, однако далеко не все пользователи успели установить патч к началу атак. Дружными усилиями всего интернет-сообщества эпидемию Conficker удалось погасить, однако вычистить его до конца, как показывает практика, не удалось.
На сайте iPower Павау призвал всех производителей учитывать интересы безопасности, что особенно важно в эпоху IoT: «Если продукт производится за рубежом, как может производитель гарантировать его безопасность? В конечном счете всем следует осознать, что практически все современные устройства, способные подключаться к Интернету или компьютеру, потенциально могут быть скомпрометированы. И последствия будут весьма плачевными, если такими устройствами пользуются органы правопорядка».
Источник