Хакеры превращают ваши камеры в шпионов. И это не сценарий фильма

Хакеры активно взламывают устаревшие IoT-устройства GeoVision, чтобы включать их в состав ботнета Mirai. По данным исследователей Akamai, атаки фиксируются с начала апреля 2025 года и используют две критические уязвимости с оценкой 9.8 по CVSS — CVE-2024-6047 и CVE-2024-11120 . Обе бреши позволяют удалённо выполнять произвольные команды в системе.

Целью атак стал устаревший CGI-эндпоинт «/DateSetting.cgi», куда через параметр «szSrvIpAddr» внедряются команды для загрузки и запуска версии вредоносного ПО Mirai под архитектуру ARM. Используемый вариант получил имя LZRD.

Кроме GeoVision, ботнет также эксплуатирует другие известные уязвимости — например, в Hadoop YARN ( CVE-2018-10561 ) и уязвимость в оборудовании DigiEver (без CVE), впервые описанную в декабре 2024 года. Исследователи полагают, что кампания может быть связана с активностью, ранее отслеживаемой под именем InfectedSlurs.

Как подчёркивают специалисты, атаки на устройства с устаревшей прошивкой остаются одним из самых простых и эффективных способов расширения ботнета. Многие производители больше не поддерживают такие устройства, а некоторые вовсе прекратили своё существование, оставив уязвимые системы без обновлений.

Поскольку устройства GeoVision, попавшие под удар, уже сняты с поддержки, пользователям рекомендовано заменить их на более современные аналоги.

Тем временем ботнет Mirai не ограничился камерами — теперь он ломится в корпоративные системы Samsung. Через дыру в MagicINFO 9 ( CVE-2024-7399 ) хакеры грузят шелл, который качает модифицированный Mirai прямо на цифровые вывески и рекламные панели. Особо цинично то, что многие из этих устройств висят в торговых центрах и аэропортах — теперь они не только показывают рекламу, но и тихо помогают хакерам в DDoS-атаках.