Фахівці з кібербезпеки компанії Qualys виявили нову критичну загрозу в екосистемі інтернету речей – ботнет Murdoc, який базується на сумнозвісному шкідливому програмному забезпеченні Mirai. За даними дослідників, з моменту виявлення в липні 2024 року зловмисна мережа встигла інфікувати понад 1370 пристроїв, переважно в регіонах Південно-Східної Азії та Латинської Америки.
Технічні особливості та механізм поширення ботнету
Murdoc використовує комбінований підхід до зараження цільових пристроїв, експлуатуючи дві ключові вразливості: щойно виявлену CVE-2024-7029 в IP-камерах Avtech та раніше відому CVE-2017-17215 в маршрутизаторах Huawei HG532. Процес компрометації включає складний ланцюжок завантаження шкідливого коду, який адаптується під конкретну апаратну архітектуру атакованого пристрою.
Масштаби загрози та географія поширення
Згідно з даними аналітичної платформи Censys, наразі в мережі знаходиться понад 37 995 потенційно вразливих камер Avtech. Найбільша концентрація скомпрометованих пристроїв спостерігається в Тайвані, В’єтнамі, Індонезії, США та Шрі-Ланці. Для керування зараженими пристроями зловмисники розгорнули масштабну інфраструктуру з більш ніж 100 командно-контрольних серверів.
Критична вразливість CVE-2024-7029: деталі та наслідки
Вразливість CVE-2024-7029 виявлена у функціоналі налаштування яскравості IP-камер Avtech AVM1203. Експлуатація цієї вразливості дозволяє зловмисникам виконувати довільні команди на пристрої без необхідності автентифікації. Ситуація ускладнюється тим, що виробник припинив підтримку цих пристроїв ще у 2019 році, залишивши користувачів без можливості встановлення оновлень безпеки.
Основною метою операторів ботнету Murdoc є організація масштабних DDoS-атак, що відповідає типовому сценарію використання Mirai-подібних ботнетів. Для мінімізації ризиків компрометації експерти рекомендують організаціям провести ретельний аудит IoT-інфраструктури, своєчасно оновлювати прошивки пристроїв та виводити з експлуатації застаріле обладнання, що більше не підтримується виробником. Особливу увагу слід приділити сегментації мережі та обмеженню доступу до IoT-пристроїв з інтернету.
