殭屍網路鎖定海運物流公司，綁架DVR發動DDoS攻擊

一般來說，殭屍網路鎖定的標的，多半是企業組織的邊緣裝置，也有針對家用物聯網裝置的情況，但如今有瞄準海上環境的攻擊行動出現。

資安業者Cydome發現Mirai變種Broadside，駭客專門針對海運的物流產業而來，鎖定該產業廣泛運用的TBK DVR設備，利用已知漏洞CVE-2024-3721（CVSS風險評為6.3分）作為主要滲透的管道。由於這些業者往往會利用DVR監控船隻各個區域，若是這些裝置遭到入侵而影響運作，有可能讓船上的成員無法掌握船隻的安全。再者，殭屍網路會占用衛星通訊網路的頻寬發動DDoS攻擊，使得船隻的網路通訊上行線路完全被占據而影響通訊能力。另一方面，有許多舊型船隻的DVR能存取關鍵的操作科技（OT）網路，使得攻擊者能將這種設備作為橫向移動的據點。

有別於其他的Mirai殭屍網路病毒，Broadside使用專屬的C2通訊協定、獨特的魔術標頭（Magic Header）簽章，以及名為「法官、陪審團，以及執行者」模組，以免其他駭客來搶地盤。再者，Broadside濫用Netlink核心Socket通訊機制，以事件導向的方式隱密地監控處理程序，並部署多型態（polymorphism）有效酬載來迴避靜態偵測。

究竟Broadside如何入侵DVR裝置？攻擊者發出HTTP POST請求，於/device.rsp端點利用CVE-2024-3721，從而達到遠端注入命令的目的。此殭屍網路病毒的主要功能，就是綁架裝置進行高速率的UDP洪水攻擊，同時最多可開啟32個UDP Socket連線，而執行的過程裡，該病毒還會存取/etc/passwd及/etc/shadow，目的是找出所有的本機帳號，然後進行權限提升相關的身分驗證。

入侵船隻的監視器或特定基礎設施，也曾被用於軍事行動。Amazon上個月揭露伊朗駭客Imperial Kitten配合軍事行動的網路攻擊，駭客入侵了船艦的監視鏡頭，從而掌握了即時畫面的情報，後續進一步對特定船隻的自動識別系統（Automatic Identification System，AIS）下手，數日後胡塞武裝部隊就對該船隻發射飛彈。