Интернет вещей :: наш первый секурити-инцидентЪ

Posted: 2016-07-08 in IT, Security
Метки:,

Сегодня случилось забавное — было обнаружено, что одно из устройств климат-контроля и мониторинга системы кондиционирования стало генерить слишком много траффика на порту.
Данное устройство предназначено для слежения за температурой и состоянием кондиционеров, основано на каком-то микроконтроллере и использует проприетарную прошивку. Модель девайса даже не гуглится.

По требованиям заказчика оно было доступно извне без фильтрации по IP, пароли были вполне качественные.

Однако это ничуть не помешало зло-хакерам найти багу, взломать девайс и поставить внутрь небольшой http-проксик и бот для ssh-брутфорсинга сторонних серверов, что и было замечено.

Девайс, обычно генеривший 1-2 pps и считанные байты траффика, стал генерить 2-8 Kpps и 1-2 Mbit всякой трешни. Сделав дамп с помощью port-mirror и тестового ноута, обнаружил там кучу HTTP- и SSH- траффика, не имеющего никакого отношения к нашим сетям.

В итоге железку сперва переключил в карантин (влан без выхода в инет), и сделав снова дамп, обнаружил, что несчастная дрына упорно пытается зарезолвить адрес x.fd6fq54s6df541q23sdxfg.eu

На текущий момент оно резолвится вот в такие адреса:

$ nslookup x.fd6fq54s6df541q23sdxfg.eu 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 147.252.1.254
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 83.143.80.227
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 202.103.224.85
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 211.103.199.98
Name: x.fd6fq54s6df541q23sdxfg.eu
Address: 78.10.50.1

Будьте бдительны, северо-корейские хакеры где-то рядом.

Реклама

Обсуждение закрыто.