Хакерски атаки в системите за видеонаблюдение

Хакерски атаки DahuaВъзможни ли са Хакерски атаки в системите за видеонаблюдение?

Директно на въпроса. Голям брой от рекордерите на Dahua по цял свят бяха  хакнати, откакто атаките се повишиха около 20-то число този месец.

Няма шега, няма измама – ХАКЕРСКИ АТАКИ  ИМА!

Както ще прочетете по-долу, ще видите, че хакерските атаки към вашите DVR / NVR рекордери сами по себе си няма да причинят кой-знае каква щета!

Ще ви променят настройките на картината до степен, че да не виждате камерите, ще ви променят IP адресите и DNS-ите, за да нямате достъп по интернет. Могат да ви променят паролите ако искат…

Лошото е, че ако към вашият рекордер не е свързан монитор (или телевизор) за локално видеонаблюдение на място, а контролирате наблюдението само по интернет, то може и дълго време да не разберете, че сте „хакнати“!

А още по-лошо би било системата ви за видеонаблюдение да е била хакната, без дори да сте разбрали, и точно тогава да се случи събитие, което да не се запише!

SSTS Сервиз

Имаше ли някакви предупреждения за възможни хакерски атаки?

Като се замисля, преди няколко дена получих имейл от един от нашите партньори, който гласеше:

Уважаеми Партньори,

тази седмица се възобновиха хакерските атаки към системите за видеонаблюдение в цяла Европа. Възможно е да се случи заразяване и с някои устройства на Dahua с DDoS, особено тези с по-стар фърмуер.

Симптомите са:
– промяна на мрежовите настройки (IP, Mask, DNS), което води до невъзможност за дистанционен достъп;
– промяна в името на каналите (появява се надпис HACKED);
– промяна на зададените потребители и пароли на устройството, като старите са невалидни;
– HCVR не визуализират, респективно не записват включените към тях камери;
–  не се наблюдава хардуерна повреда в устройството.

Решението е:
– префлашване на заразените устройства с последен FW за съответния модел на място;
– префлашване на незаразените устройства с последен FW за съответния модел дистанционно или на място;
– привеждане до фабрични настройки (default settings) след флашването на заразено устройство;

Допълнителни мерки с цел превенция са описани тук!

Последните версии FW:    HCVR      NVR

Превенцията е:
-за налични устройства в склад – моля проверете актуална FW версия и направете ъпдейт до най-нова версия FW от линковете по-горе;
-за закупени нови у-ва от Дистрибутора – проверете актуална FW версия и направете ъпдейт при нужда.

Интересното е, че към момента от Dahua Все още не са направили публично изявление!

SSTS Сервиз

Хакерски атаки в действие!

Оказа се, че работата никак не е на шега,  и наши клиенти също бяха поразени от хакерски атаки!

Тъкмо затова, реших да сваля кратко видео записано на един клиентски рекордер – модел Dahua XVR4116.

Записът е направен по време на хакерската атака и малко след това.

Както се вижда във видеото, по време на „атаката“ не се вижда нищо! Нито логване , нито визуализиране на менюта, нито промяна на настройки – нищо. Просто в един момент камерите започват да изключват една по една!

SSTS Сервиз

Как сме разбрали, какво става в момента на хакерската атака?

Отговорът на този въпрос е много лесен. Всички операции се пазят по дата и час в логовете / регистрите на рекордера.

Към края на видеото горе виждате как ги достъпваме.

Ето и кратка, обобщена извадка на логовете от нашия „хакнат“ рекордер. За по-любопитните ще приложа и целият  LOG файл TXT формат, свален директно от DVR-a.  FileLog

1. Логване  (log 1)

Log Time & Event : 2017-09-20 06:22:19   User logged in.<203.142.50.51>
Log Type : User Management-->User logged in.
Log User : 888888
Detailed Information:
IP Address:203.142.50.51
User:888888

2. Смяна на цветовите настройки за всеки канал поотделно (от log 2 до log 33)

Log Time & Event : 2017-09-20 06:22:34   Save <COLOR> config!
Log Type : SETTING-->Save
Log User : 888888
Detailed Information:
Save <COLOR> config!

IP Address:203.142.50.51 
User:888888
Group:admin
Channel:1 

Time Period 1 :
Brightness :50-->1
Contrast :50-->1
Saturation :50-->1
Hue :50-->1

3. Промяна на настройките за аларма за всеки канал поотделно. Изключва алармата за детекция на липсваща камера / сигнал  (от log 34 до log 48)

Log Time & Event : 2017-09-20 06:22:36   <Tampering : 1>
Log Type : Alarm Type-->Tampering
Log User : 888888
Detailed Information:
Event Type:Tampering
Event Action:Event Begin
Channel:<1>
Start Time:2017-09-20 06:22:36

4. Смяна на DNS адресите (log 49)

Log Time & Event : 2017-09-20 06:22:49   Save <General Network> config!
Log Type : SETTING-->Save
Log User : 888888
Detailed Information:
Save <DNS> config!

IP Address:203.142.50.51 
User:888888
Group:admin

Preferred DNS :172.28.23.1-->1.2.3.4
Alternate DNS :8.8.8.8-->1.2.3.5

5. Смяна на IP адресите (log 51)

Log Time & Event : 2017-09-20 06:22:53   Save <General Network> config!
Log Type : SETTING-->Save
Log User : 888888
Detailed Information:
Save <General Network> config!

IP Address:203.142.50.51 
User:888888
Group:admin

IP Address :172.28.23.10-->10.64.74.92
Default Gateway :172.28.23.1-->10.64.74.230

6. Нарушителят се разлогва (log 52)

Log Time & Event : 2017-09-20 06:24:19   User logged out.<888888>
Log Type : User Management-->User logged out.
Log User : 888888
Detailed Information:
IP Address: 203.142.50.51
User: 888888

Какво се получава в последствие?

От Log 53 нататък, рекордерът се опитва да визуализира камерите, всеки канал е настроен да показва черна картина и камери не се визуализират!

При черен екран DVR-ът подава се опитва да подаде сигнал за аларма за липсваща камера или прекъснат сигнал, но алармата вече е изключена.

И както е видно от логовете надолу,  рекордерът се опитва да визуализира всеки канал поотделно и след неуспех веднага подава аларма, която обаче е изключена. 🙂

И така в постоянен кръговрат до момента на нашата намеса.SSTS Сервиз

Какво е възможното противодействие срещу хакерски атаки в системите за видеонаблюдение?

Как реагирахме?

След установяване на проблема е желателно веднага да се смени фърмуера (управляващия софтуер) на устройството. Трябва да вземем в предвид, че в случая става въпрос за устройство на производителя Dahua, което ни гарантира пълна поддръжка от тяхна страна.

Ние от SSTS сервиз предпочитаме да работим с добри и надеждни марки техника. Имали сме случаи да работим с незнайни "NoNAME" китайски марки, за които дори намирането на бегла информация е трудно, да не говорим за софтуер, или друго...

След смяната на фърмуера пристъпваме към смяна на всички пароли за локален и дистанционен достъп. Всъщност хакерската атака е била осъществена през паролата на локалния потребител, която стандартно е „888888“ и рядко се сменя!

Смяната на фърмуера всъщност предотвратява всякакъв последвал отдалечен достъп до локален потребител.

Следващата стъпка е промяна на пренасочените портове в устройството и в мрежата на потребителя! При желание всеки може да намери стандартните портове, както на Dahua, така и на други реномирани производители, и да опита достъп през тях!

Остава само възстановяване на нормалната работоспособност на системата за видеонаблюдение – стандартните настройки за постоянен запис или движение, картина и т.н.

SSTS Сервиз

Ако статията ви е харесала, моля споделете я в социалните мрежи за да може да достигне до повече хора.