Модификация ботнета Mirai под названием RapperBot угрожает устройствам видеонаблюдения по всему миру

На международной конференции Botconf , которая прошла в мае 2025 года во французском Анже, специалисты из NICT CSRI представили результаты своего трёхлетнего расследования вируса RapperBot.

RapperBot активно атакует цифровые видеорегистраторы ( DVR ), которые используются для записи и удалённого управления камерами видеонаблюдения, пишут в Securitylab. Эксперты NICT CSRI подробно разобрали экосистему таких устройств и показали, насколько они уязвимы для кибератак. Среди основных проблем — стандартные пароли, открытые Telnet и HTTP порты на старых моделях, а также отсутствие регулярных обновлений прошивки. Эти слабые места превращают DVR-устройства в лёгкую добычу для злоумышленников, стремящихся захватить элементы инфраструктуры Интернета вещей.

Для компрометации DVR-устройств RapperBot применяет многоступенчатую стратегию. Помимо стандартных атак методом подбора паролей, где почти половина учётных данных адаптирована именно под видеорегистраторы, используются известные уязвимости из базы CVE и так называемые нулевые уязвимости — ещё не раскрытые официально ошибки безопасности. Всё это происходит через административные интерфейсы устройств, что повышает вероятность успешного взлома.

Ключевой особенностью RapperBot стала сложная цепочка заражения. Как показали данные мониторинга NICTER за конец 2024 года, после успешного входа на устройство вирус запускает сканеры Recon для точного определения типа оборудования. После этого информация отправляется на управляющий сервер, а затем специальный загрузчик подбирает уязвимость , подходящую именно для этой модели. Такой подход затрудняет работу по обнаружению и нейтрализации вируса, поскольку злоумышленники заранее проверяют реакцию устройств и избегают ловушек вроде honeypot-серверов.

Кроме захвата видеорегистраторов, RapperBot активно используется для организации глобальных DDoS-атак . Крупнейший из зафиксированных случаев произошёл 10 марта 2025 года, когда вирус атаковал социальную сеть X, что привело к перебоям в её работе. Ситуацию зафиксировали аналитики Cisco ThousandEyes, опубликовавшие графики недоступности сервиса.

С начала весны 2025 года RapperBot получил дополнительные функции. Вирус стал использовать шифрование при разрешении доменных имён управляющих серверов, создавая случайные доменные имена из 32 символов через публичные DNS-серверы. Также появилась возможность проводить DDoS-атаки через HTTPS, что затрудняет их обнаружение, поскольку вредоносный трафик смешивается с обычным веб-трафиком. Для усложнения выявления применяется случайный выбор алгоритмов подписи TLS-соединений, что помогает обходить системы идентификации вроде JA4.

Особую опасность RapperBot представляет из-за своей способности атаковать устройства от производителей ITX Security и CTRing. Эти DVR продаются под более чем 28 брендами по всему миру, что делает задачу централизованного устранения уязвимостей практически невыполнимой. Уже в 2022 году NICT в сотрудничестве с одним из японских ритейлеров обнаружили четыре серьёзные уязвимости, включая две нулевых, в устройствах ITX Security. Тогда проблему удалось частично решить выпуском обновлённой прошивки.