RapperBot усиливает глобальную атаку на системы DVR: раскрыты новые тактики уклонения

RapperBot, развивающийся с 2022 года, применяет изощрённую тактику, разделяя функционал между четырьмя типами модулей. Наиболее активен «Recon-тип», который сканирует сети, идентифицирует модели DVR и передаёт данные на управляющие серверы. Затем Loader-модули целенаправленно эксплуатируют уязвимости конкретных устройств, включая zero-day атаки, избегающие обнаружения honeypot-системами. Такая модульность усложняет анализ: если сканер не содержит эксплойтов, исследователи вынуждены изучать реальные инциденты заражения, как это произошло с DVR южнокорейской компании ITX Security, где обнаружили четыре уязвимости, включая две zero-day.

Пик активности ботнета пришёлся на март 2025 года, когда RapperBot провёл масштабную DDoS-атаку на платформу X. Данные Cisco ThousandEyes показали полное совпадение времени атак с перебоями в работе сервиса: команды на запуск 200-секундных атак поступали в 12:57, 16:33 и 17:00 UTC, причём в последних случаях операторы принудительно останавливали атаку до завершения цикла, маскируя следы. Это указывает на профессиональное управление, схожее с услугами DDoS-as-a-Service, хотя прямых доказательств монетизации пока нет.

В апреле 2025 года RapperBot получил значительные обновления, усиливающие скрытность. Вместо трёх фиксированных доменов для связи с C2-серверами ботнет теперь использует 32 случайных FQDN, запрашиваемых через публичные DNS. TXT-записи, содержащие IP-адреса управляющих серверов, теперь зашифрованы, что затрудняет блокировку инфраструктуры. Ещё опаснее стало внедрение HTTPS-атак: злоумышленники генерируют уникальные параметры TLS-рукопожатия для каждого сеанса, меняя списки поддерживаемых алгоритмов. Это обходит детектирование по цифровым отпечаткам вроде JA4, так как каждый Client Hello пакет выглядит уникальным для систем анализа трафика.

Проблема усугубляется глобальным масштабом угрозы. По данным NICTER, 40% паролей в исходном коде Mirai (предшественника RapperBot) относились к DVR, а современные ботнеты автоматизируют подбор учётных данных для тысяч устройств в час. Уязвимости в одном OEM-продукте мгновенно распространяются на десятки брендов, а отсутствие единого центра обновлений оставляет миллионы устройств беззащитными. Исследователи NICT призывают производителей внедрять автоматические OTA-обновления и отказываться от устаревших протоколов, а пользователям рекомендуют немедленно менять пароли по умолчанию и изолировать DVR в отдельных сетях.

В ответ на растущие риски команда CSRI расширяет сотрудничество с вендорами и CERT-командами, разрабатывая систему оперативного оповещения о новых угрозах. Однако, как показала атака на X, RapperBot эволюционирует быстрее традиционных мер защиты. Эксперты прогнозируют рост атак на IoT-инфраструктуру с использованием методов искусственного интеллекта для адаптивного выбора целей, что потребует пересмотра стратегий кибербезопасности на национальном уровне. Пока же цифровые видеорегистраторы остаются слабым звеном в обороне предприятий и домохозяйств, а их взломанные армии продолжают угрожать стабильности интернета.

Итоговая оценка ситуации неутешительна: до тех пор, пока производители не начнут встраивать безопасность на этапе проектирования устройств, а пользователи - систематически применять базовые меры защиты, ботнеты вроде RapperBot будут доминировать в ландшафте киберугроз, превращая повседневные гаджеты в оружие массового поражения цифровой эпохи. Трёхлетнее исследование NICT доказывает - точечные исправления не работают, и только глобальная стандартизация требований к безопасности IoT сможет переломить тенденцию.

SHA256

• 200e571bc0a6d2562563022dfcc60ac5ac8c2e40eb73a053be8555349a674a69
• 7e536cc15ebac6dbbf8e597dc41a20fac460c892cb5488849ed221a6b352f6a6
• ae3d740fc5a9fac12d1ef7c9204a0e25574d095a803baa988e093b8f577fb3bc
• cc022c57fe74fbb9cc58ea57a4e1debe70fbc5f589b4f2f1987f36989eb4cc85
• d822048a8eb925046edc4e5e72c41d82c56093dd87bb22f49685326d85986769