Хакерская атака на регистраторы на платформе XM

22.08.2024 регистраторы на платформе XM, подключенные к интернету, подверглись хакерской атаке. Суть атаки: регистратор уходит в бесконечный процесс обновления (постоянно обновляется), видео с камер в этот момент не отображается, запись не ведется. Судя по всему, атаке подверглись только регистраторы с логином администратора admin. Новые регистраторы, где логин администратора состоит из уникального сочетания букв, работают стабильно.

Что делать, если регистратор уже ушел в процедуру обновления?

  1. Выключить регистратор и отсоединить кабель от разъема LAN, включить регистратор
  2. Установить надежный взломостойкий пароль для пользователя admin
  3. Зайти в пункт Обновление (Главное меню - Управление - Обновление) и, в случае, если в вашей прошивке имеется чекбокс Отключить удаленное обновление, проставить соответствующую галку
  4. В идеале заменить стандартные порты 34567 и 80 на другие

UPD 23.08.2024: Если даже после установки сложного пароля регистратор уходит в процесс обновления нужно сбросить его к заводским настройкам и снова выполнить все шаги

UPD 24.08.2024: Если после сброса регистратор снова уходит в процесс обновления, значит вредоносное ПО уже находится в памяти устройства. В данном случае поможет только "накатывание" образа прошивки - только в этом память устройства будет полностью очищена от вредоносного ПО. 

Если регистратор еще не подвергся атаке, достаточно выполнить пункты 2 и 3, и, по возможности, 4

UPD 04.09.2024: Нижеследующая информация предоставлена специалистом по обслуживанию систем видеонаблюдения из Тюмени Александром Литвинчуком, и более детально описывает сложившуюся проблему и варианты её решения.

Хакерской атаке подверглись только видеорегистраторы, находящиеся за маршрутизатором с выделенным ("белым") IP-адресом Атакуют практически ВСЕ регистраторы - не только с пользователем «admin», но и версии с уникальным сочетанием букв в пользователе с правами администратора, логин и пароль здесь не имеют значения. При этом, при удачной атаке регистратор включается и пользователь этого не замечает: запись прерывается на несколько минут, при этом хакер получает доступ к ресурсам регистратора.

А вот при неудачной атаке регистратор зависает на стадии обновления, т. к. ПО, написанное хакером, подходит только для прошивок, выпущенных после 2019 года.

Решение проблемы:

1. Отключить автоматические обновления.

2. Посмотреть в журнале IP-адреса, с которых "прилетают" обновления ПО, и добавить их в чёрный список на вашем маршрутизаторе.

ВАЖНО: простая смена порта не поможет, так как при атаке происходит перебор всех возможных значений порта.

Лично я нашёл уже 11 IP-адресов хакеров:

38.114.123.185
74.50.78.150
78.108.178.104
87.120.166.192
95.214.52.167
95.214.53.45
141.98.11.173
154.213.184.14
181.41.196.24
185.224.128.74
193.142.146.136 


 

Share: