Масовий злам IP-камер Dahua та EZ-IP: як розпізнати, що ваша камера заражена ботнетом FCAM

Коротко про головне

Якщо у вас стоять IP-камери Dahua або IMOU, вироблені приблизно з 2015 по 2023 рік, є висока ймовірність, що вони вже скомпрометовані. Зловмисники використовують відому уразливість CVE-2021-33044 та хмарний сервіс P2P (Easy4ip) для віддаленого створення на ваших камерах прихованих адміністраторських облікових записів.

У цій статті розберемо як розпізнати компрометацію, які саме маркери залишають зловмисники та що робити, якщо ваші камери вже зламані.

Симптоми компрометації: на що звернути увагу

Якщо ви адмін, який обслуговує систему відеоспостереження, або власник бізнесу з встановленими камерами Dahua/IMOU, або користувач камер відеоспостереження — обов'язково перевірте такі ознаки:

1. Невідомі користувачі в списку облікових записів

Зайдіть у веб-інтерфейс камери або реєстратора: Налаштування → Система → Користувачі.

Якщо ви бачите користувача з випадковим ім'ям (наприклад ajmnocf, default, goguberlin, fcam, hackedby, AlexGogu) з правами адміністратора та "коментарем" типу CISA — це прямий індикатор компрометації. Не звичайний користувач, а маркер ботнету, який позначає камеру як "захоплену".

2. Підозрілі посилання в полях налаштувань

В іменах каналів, описах, коментарях або інших текстових полях може з'явитися посилання на Discord-сервер (наприклад FCAM - discord.gg/DpSH***). Це канал координації спільноти, яка торгує доступом до зламаних камер і обмінюється відеопотоками.

Категорично не переходьте за цим посиланням — це активний ресурс зловмисників, і навіть перегляд може зашкодити вашій безпеці.

3. Аномальний мережевий трафік

Камери постійно намагаються встановити з'єднання з зовнішніми серверами:

• 165.154.0.0/16 — інфраструктура Dahua P2P

• 47.254.0.0/16, 47.91.0.0/16, 47.245.0.0/16 — Dahua хмара на Alibaba Cloud (Гонконг/Сінгапур)

• Порти 8800, 15301, 12367 UDP/TCP

Це канал управління ботнету через легітимну хмарну інфраструктуру Dahua.

4. Видалений користувач повертається

Класична ознака — ви видаляєте підозрілий обліковий запис, через 30-60 хвилин він з'являється знову. Це працює "перевстановлення" через P2P-канал з командного сервера.

5. Налаштування "самі по собі" змінюються

Після Factory Default та переналаштування деякі параметри (P2P, ONVIF-користувачі, конфігурація мережі) повертаються до попереднього зламаного стану.

Як це працює: технічний розбір

Уразливість CVE-2021-33044: вхід без пароля

Це критична уразливість з оцінкою CVSS 9.8 (максимум 10), яку CISA офіційно внесла до каталогу Known Exploited Vulnerabilities у серпні 2024 року. Активно експлуатується з 2021 року.

Суть уразливості: при автентифікації зловмисник передає у запиті параметр clientType: "NetKeyboard" (CVE-2021-33044) або вказує "loopback" як джерело з'єднання (CVE-2021-33045). Якщо у вас прошивка Dahua, випущена до середини 2021 року, у цих випадках зломистники повністю обходять перевірку пароля і надають адміністраторський доступ.

Технічно це виглядає так:

• Звичайний логін: MD5("admin:realm:ПАРОЛЬ")

• Експлойт: MD5("admin:realm:") — порожній пароль

Уразлива прошивка приймає хеш порожнього пароля та повертає валідний токен сесії. Жодного брутфорсу, жодних дефолтних облікових записів — просто обхід автентифікації.

Вектор атаки через P2P

Як зловмисник знаходить вашу камеру у вашій локальній мережі за NAT?

Камера Dahua з увімкненою функцією P2P (Easy4ip) автоматично реєструється у хмарній інфраструктурі Dahua, отримуючи унікальний UID. Будь-хто з цим UID може підключитися до камери через ретрансляційні сервери Dahua, обходячи ваш NAT та фаєрвол. Це й створено для функції "віддалений перегляд через додаток DMSS без перекидання портів".

Зловмисники:

1. Сканують P2P-інфраструктуру Dahua на доступні UID

2. Через P2P-relay підключаються до камери

3. Застосовують CVE-2021-33044 для обходу автентифікації

4. Створюють адмін-користувача (ajmnocf тощо)

5. Прописують Discord-посилання як маркер

6. Залишають персистентний демон для відновлення доступу

Це не локальна проблема. Це глобальна кампанія

Щоб не бути голослівними — ось публічні джерела, які документують цю саму проблему:

• CISA (США) — внесла CVE-2021-33044 до Known Exploited Vulnerabilities Catalog у серпні 2024

• Bleeping Computer — оцінили 1.2 мільйона потенційно уразливих камер Dahua в інтернеті (за даними Shodan)

• IPVM (провідне видання про IP-відеоспостереження) — багаторічна серія публікацій про злам Dahua

• Bitdefender — у липні 2025 розкрили CVE-2025-31700/31701 з можливістю встановлення persistent daemons у прошивці

• Cyber Security Agency of Singapore — офіційний alert

• Форум ipcamtalk.com — тред "Hacked DAHUA cam and added that names" з активним обговоренням

Ім'я ajmnocf, з яким ми зіткнулися, поки відсутнє у публічних базах — це новий варіант ботнету, який тільки з'являється. Якщо ви виявите такого користувача у себе — ви бачите ту саму активну кампанію.

Що робити: чек-лист

Якщо ви виявили ознаки компрометації

Крок 1. Ізоляція від інтернету

Перше і найважливіше — негайно відрізати камери від WAN. Якщо у вас MikroTik, додайте правила в фаєрвол. Якщо побутовий роутер — вимкніть прокидання портів та UPnP. Без зв'язку з командним сервером ботнет нічого не може зробити.

Крок 2. Збереження доказів

Перед скиданням зробіть скріншоти зламаних користувачів, посилань, налаштувань — для звіту і для майбутнього аналізу.

Крок 3. Factory Default + Initialize

Через офіційну утиліту Dahua Config Tool виконайте Factory Default (повний скид) кожної камери, а не "Default" (м'який скид — не очищує облікові записи). Після цього пройдіть процедуру ініціалізації з новим сильним паролем.

Крок 4. Перепрошивка

Завантажте останню офіційну прошивку з офсайту Dahua або IMOU — лише з офіційного джерела. Встановіть на кожну камеру.

Крок 5. Налаштування безпеки

На кожній камері обов'язково:

• Вимкнути P2P / Easy4ip (Setup → Network → P2P → Disable)

• Вимкнути UPnP, DDNS, Bonjour, Multicast, SNMP

• Зняти галочку "Anonymous Login" у налаштуваннях користувачів

• Вимкнути Auto Register / Active Registration

• Вимкнути Cloud Upgrade

• Встановити сильний унікальний пароль (16+ символів)

• Перевірити ONVIF-користувачів (окремий список!) — видалити зайвих

• Змінити стандартні порти HTTP/RTSP/SDK

• Налаштувати IP Filter (Whitelist) — лише IP реєстратора та адміна

Крок 6. Перевірка реєстратора (NVR)

Якщо у вас зламані камери — є висока ймовірність, що зламано і реєстратор. Повторіть процедуру для NVR/DVR.

Крок 7. Аудит мережі

Перевірте інші пристрої в локальній мережі — зламана камера могла стати точкою входу для атаки на сервери, робочі станції, інші пристрої.

Превентивний захист (для всіх)

Навіть якщо ви не виявили компрометацію, рекомендуємо застосувати:

На рівні мережі:

• Виокремити камери в окремий VLAN

• Заборонити камерам вихід в інтернет на фаєрволі

• Доступ до камер лише з IP реєстратора та адмінських станцій

• DNS-локально (наприклад через MikroTik), DNS-запити до доменів Dahua перенаправити на 127.0.0.1

• Для віддаленого доступу використовувати VPN (WireGuard, OpenVPN), а не P2P

На рівні камери:

• Вимкнути всі хмарні функції (P2P, DDNS, Auto Register, Cloud Upgrade)

• Сильні унікальні паролі

• Регулярні оновлення прошивок

• IP-фільтрація на самій камері

На рівні архітектури:

• Для існуючих Dahua/Hikvision — суворо ізолювати від інтернету

• Документувати конфігурацію кожного об'єкта

Що ми робимо при виявленні зламаної системи

У роботі з клієнтськими інфраструктурами ми регулярно стикаємося з цією проблемою. Стандартний алгоритм виглядає так:

1. Аудит — інвентаризація камер, моделей, прошивок, статусу облікових записів і налаштувань хмарних сервісів

2. Збір доказів — фіксація індикаторів компрометації (юзери, посилання, аномалії трафіку) до будь-яких дій

3. Ізоляція — налаштування фаєрвола (зазвичай MikroTik) для блокування зовнішнього зв'язку

4. Очистка — Factory Default + Initialize + перепрошивка + повне переналаштування за чек-листом безпеки

5. Сегментація мережі — виокремлення камер у VLAN з обмеженням доступу

6. VPN для віддаленого доступу — заміна P2P на захищений канал

7. Моніторинг — налаштування логування для виявлення подальших аномалій

8. Документація — звіт клієнту з описом інциденту та рекомендаціями

Якщо хоче перевірити свою систему — ми надаємо такі послуги. Контакти ↗.

Висновок

Злам IP-камер Dahua та IMOU — це не теоретична загроза і не локальний баг. Це задокументована глобальна кампанія, яка використовує:

1. Критичну уразливість CVE-2021-33044/33045 (обхід автентифікації без пароля)

2. Легітимну P2P-інфраструктуру Dahua як канал доставки атак

3. Слабкі дефолтні налаштування мільйонів пристроїв по всьому світу

Хороша новина: проблема вирішується. Правильне поєднання мережевої ізоляції, очистки конфігурацій та відмови від P2P повністю блокує атаку. Камери залишаються робочими, доступ до них не втрачається — лише змінюється спосіб віддаленого підключення (через VPN замість хмари Dahua).

Погана новина: без втручання проблема не зникне сама. Камери продовжуватимуть бути частиною ботнету, зливаючи відеопотоки невідомо куди та беручи участь в атаках на інші системи.

Якщо ваші камери досі мають увімкнений P2P і відкритий доступ в інтернет — найкращий час для аудиту вже минув. Другий найкращий — зараз.

Корисні джерела

• CISA Known Exploited Vulnerabilities Catalog

• CVE-2021-33044 на NVD

• CVE-2021-33045 на NVD

• Dahua Security Advisory DHCC-SA-202106-001

• IPVM: Dahua 21 Critical Vulnerabilities

• Bleeping Computer: 1.2M Dahua cameras exposed

• Bitdefender: Critical Dahua Camera Flaws 2025

• CERT-UA: Офіційний сайт

Цей матеріал є освітнім та аналітичним. Усі чутливі деталі (повне Discord-посилання, точні артефакти зловмисників) свідомо приховані для запобігання поширенню активних інструментів атаки.