Атака BadCam превращает доверенные веб-камеры Linux в скрытое USB-оружие
Появился новый класс USB-атак. Эти атаки нацелены не только на съёмные устройства, но и на уже существующие, доверенные периферийные устройства, уже подключенные к системам: веб-камеры Linux. Теперь злоумышленники могут эксплуатировать уязвимости распространённых USB-камер со встроенным Linux, превращая их в устройства BadUSB, способные подделывать нажатия клавиш и выполнять скрытые операции независимо от операционной системы.
Эта угроза, теперь известная как «BadCam», основана на оригинальной концепции атак BadUSB, впервые представленной Карстеном Нолем и Якобом Леллем на конференции Black Hat 2014. В основе проблемы лежит фундаментальный недостаток спецификации USB, в которой отсутствует обязательное обеспечение проверки подписи прошивки . Это упущение позволяет перепрограммировать USB-устройства, такие как флеш-накопители, клавиатуры, а теперь и веб-камеры, для имитации доверенных устройств человеко-машинного интерфейса (HID), незаметно выполняя команды после подключения к хосту.
BadCam отличается своим методом эксплуатации. В отличие от традиционных атак BadUSB, которые основаны на использовании ничего не подозревающих пользователей с помощью вредоносных USB-накопителей, BadCam позволяет злоумышленникам удалённо взламывать веб-камеры на базе Linux, уже подключённые к системе, делая их скрытыми и устойчивыми векторами атак без необходимости физического доступа .
Угрозу BadCam раскрыли исследователи кибербезопасности Джесси Майкл и Микки Шкатов из компании Eclypsium.
Мишени BadCam: веб-камеры Lenovo с прошивкой Linux
Исследование было сосредоточено на двух конкретных моделях:
- Веб-камера Lenovo 510 FHD (GXC1D66063, FRU: 5C21E09202)
- Веб-камера Lenovo Performance FHD (4XC1D66055, FRU: 5C21D66059)
Обе камеры построены на базе однокристальных систем SigmaStar SSC9351D — двухъядерных процессоров ARM Cortex-A7 под управлением встроенной ОС Linux с поддержкой USB-гаджетов. Такая аппаратная конфигурация позволяет этим веб-камерам маскироваться под другие периферийные USB-устройства, такие как клавиатуры или сетевые адаптеры .
Компания Eclypsium обнаружила, что в прошивках этих устройств отсутствует проверка подписи. В результате злоумышленники, получившие удалённый доступ к системе, могут перепрошить прошивку веб-камеры, установив вредоносный код . После взлома веб-камера может имитировать ввод с клавиатуры (например, эмулировать резиновую уточку или кролика Bash Bunny) и проводить скрытые атаки.
Векторы атаки: физические и дистанционные
Были обозначены два основных сценария атаки:
- Цепочка поставок или физический доступ: злоумышленник может предоставить взломанную веб-камеру (или получить физический доступ к машине) и подключить к ней вредоносное устройство.
- Удаленная инъекция прошивки: Что еще более важно, злоумышленник, имеющий удаленный доступ к компьютеру, может определить подключенную веб-камеру Linux и загрузить на нее вредоносное обновление прошивки, превратив ее в платформу для атаки BadUSB без взаимодействия с пользователем.
В обоих случаях заражённая веб-камера сохраняет свою функциональность, что крайне затрудняет её обнаружение. Более того, поскольку вредоносное ПО находится в прошивке периферийного устройства, а не в операционной системе хоста, даже переформатирование компьютера не устранит угрозу. Заражённая камера может повторно заражать хост-устройство.
Последствия для безопасности USB
Хотя в этом исследовании рассматриваются две веб-камеры Lenovo, последствия выходят далеко за их рамки. Многие периферийные USB-устройства под управлением Linux, от камер до устройств Интернета вещей, могут не иметь надлежащей проверки прошивки.
Теоретически любое устройство, поддерживающее подсистему Linux USB Gadget, может быть взломано аналогичным образом. Как предупреждает Eclypsium, речь идёт не только о веб-камерах, но и о всё более широком классе встраиваемых USB-устройств, которые теперь представляют собой потенциальные цели для атак BadUSB.
Фреймворк Linux USB Gadget позволяет устройствам распознавать себя как устройства любого класса USB (массовые накопители, HID, последовательные устройства и т. д.). Эта возможность в сочетании с недостаточной защитой прошивки создаёт мощный коктейль для злоумышленников, стремящихся создать скрытые, надёжные и модульные устройства BadUSB.
Доказательство концепции
Исследователи продемонстрировали, как вредоносное обновление прошивки может быть доставлено с помощью простых команд по USB. Короткая последовательность действий, такая как проверка SPI-флеш-памяти, очистка памяти и запись нового двоичного файла, полностью заменяет исходную прошивку. Они указали конкретную сборку:
объективный
CopyEdit
ВЕРСИЯ FW: CMK-HD510-OT1917-FW-4.6.2
Linux 4.9.84 armv7l GNU/Linux
Этот процесс обновления по сути обеспечивает полный контроль над камерой, превращая ее в скрытый инструмент злоумышленника.
Реальные риски и постоянные угрозы
Отличительной чертой этой атаки является её уровень устойчивости. После взлома веб-камера становится постоянным бэкдором. Даже полностью очищенная и восстановленная хост-система остаётся уязвимой, если взломанная веб-камера снова подключена.
Скрытность этих атак означает, что традиционные средства обнаружения конечных точек неэффективны. Поскольку вредоносная логика работает на уровне прошивки, она невидима для антивирусного ПО или средств мониторинга на уровне ОС.
Хронология и ответ поставщика
Компания Eclypsium ответственно раскрыла информацию об уязвимости компании Lenovo в марте 2025 года. После этого последовал ряд сообщений и исправлений:
- 29 июля 2025 г.: Lenovo подтверждает исправление прошивки и планирует публикацию рекомендаций.
- 8 августа 2025 г.: Представлены результаты, и Lenovo публикует инструменты обновления прошивки.
С тех пор Lenovo выпустила обновлённые инструменты прошивки, устраняющие проблемы с проверкой подписи в затронутых моделях веб-камер. Пользователи могут загрузить версию прошивки 4.8.0 с сайта поддержки Lenovo.
Заключение
Использование веб-камер Linux в качестве оружия представляет собой кардинальное изменение в подходах к атакам по USB. Эти устройства, ранее считавшиеся пассивными периферийными устройствами ввода, теперь, как доказано, могут быть преобразованы в активные компоненты атаки посредством удалённого взлома прошивки. Организациям необходимо срочно внедрить более строгую проверку устройств, обеспечить проверку подписи прошивки и пересмотреть принципы доверия к периферийным USB-устройствам, особенно работающим под управлением Linux .
About The Author
