Уязвимость в камерах видеонаблюдения производства свыше 70 компаний была выявлена сотрудником компании RSA Security Ротемом Кернером. Брешь в прошивке позволяла хакерам похищать данные платежных карт, принадлежащих посетителям магазинов розничной торговли.
Эксперт подробно рассказал о том, каким образом вредоносная программа Backoff, обнаруженная в декабре 2014 года, связана с камерами наблюдения производства китайской компании TVT. В 2014 году PoS-терминалы порядка 1000 американских компаний были инфицированы вредоносным программным обеспечением. Из-за утечки информации платежных карт пострадали посетители многих крупных розничных сетей.
Основой для исследования Кернера послужил документ RSA, опубликованный в 2014 году. Эксперту удалось выяснить, что многие взломанные компьютеры использовались в качестве небольших веб-серверов, которые были запущены на открытых портах 81, 82 и 8000. Данные серверы были предназначены для обеспечения доступа к системе видеонаблюдения. Во всех камерах применялось программное обеспечение Cross Web Server.
Кернер с помощью системы Shodan смог найти 30000 камер с Cross Web Server. Без ведома владельцев камер любой желающий мог подключиться к ним через интернет. Исследователь выяснил, что серверное программное обеспечение является разработкой китайской компании TVT.
В ходе изучения прошивки, загруженной с сайта компании, Кернер выявил уязвимость в коде, с помощью которой он через вредоносный URL получил удаленный доступ к устройству. В результате исследователь смог проникнуть в сеть, в которую в том числе входят и PoS-терминалы.