22.08.2024 регистраторы на платформе XM, подключенные к интернету, подверглись хакерской атаке....
Read more22.08.2024 регистраторы на платформе XM, подключенные к интернету, подверглись хакерской атаке. Суть атаки: регистратор уходит в бесконечный процесс обновления (постоянно обновляется), видео с камер в этот момент не отображается, запись не ведется. Судя по всему, атаке подверглись только регистраторы с логином администратора admin. Новые регистраторы, где логин администратора состоит из уникального сочетания букв, работают стабильно.
Что делать, если регистратор уже ушел в процедуру обновления?
- Выключить регистратор и отсоединить кабель от разъема LAN, включить регистратор
- Установить надежный взломостойкий пароль для пользователя admin
- Зайти в пункт Обновление (Главное меню - Управление - Обновление) и, в случае, если в вашей прошивке имеется чекбокс Отключить удаленное обновление, проставить соответствующую галку
- В идеале заменить стандартные порты 34567 и 80 на другие
UPD 23.08.2024: Если даже после установки сложного пароля регистратор уходит в процесс обновления нужно сбросить его к заводским настройкам и снова выполнить все шаги
UPD 24.08.2024: Если после сброса регистратор снова уходит в процесс обновления, значит вредоносное ПО уже находится в памяти устройства. В данном случае поможет только "накатывание" образа прошивки - только в этом память устройства будет полностью очищена от вредоносного ПО.
Если регистратор еще не подвергся атаке, достаточно выполнить пункты 2 и 3, и, по возможности, 4
UPD 04.09.2024: Нижеследующая информация предоставлена специалистом по обслуживанию систем видеонаблюдения из Тюмени Александром Литвинчуком, и более детально описывает сложившуюся проблему и варианты её решения.
Хакерской атаке подверглись только видеорегистраторы, находящиеся за маршрутизатором с выделенным ("белым") IP-адресом Атакуют практически ВСЕ регистраторы - не только с пользователем «admin», но и версии с уникальным сочетанием букв в пользователе с правами администратора, логин и пароль здесь не имеют значения. При этом, при удачной атаке регистратор включается и пользователь этого не замечает: запись прерывается на несколько минут, при этом хакер получает доступ к ресурсам регистратора.
А вот при неудачной атаке регистратор зависает на стадии обновления, т. к. ПО, написанное хакером, подходит только для прошивок, выпущенных после 2019 года.
Решение проблемы:
1. Отключить автоматические обновления.
2. Посмотреть в журнале IP-адреса, с которых "прилетают" обновления ПО, и добавить их в чёрный список на вашем маршрутизаторе.
ВАЖНО: простая смена порта не поможет, так как при атаке происходит перебор всех возможных значений порта.
Лично я нашёл уже 11 IP-адресов хакеров:
38.114.123.185
74.50.78.150
78.108.178.104
87.120.166.192
95.214.52.167
95.214.53.45
141.98.11.173
154.213.184.14
181.41.196.24
185.224.128.74
193.142.146.136