Что такое ботнет интернета вещей

Ботнет интернета вещей

Появление интернета вещей (IoT) изменило мир. Теперь врач может моментально получить показания вашего кардиомонитора, а умный холодильник подскажет, что нужно купить. Множество встроенных повсюду невидимых датчиков и чипов постоянно общаются друг с другом, передают и изменяют данные и полностью живут своей жизнью. Интернет вещей обладает огромным потенциалом для улучшения жизни. Но некоторые люди нашли способ использовать его для собственной выгоды. Они делают это через ботнет интернета вещей.

Что означает ботнет

Хакеры уже давно придумали, как использовать устройства, против воли пользователей. Технический термин для этого ― «ботнет». Так называется сеть зараженных компьютерным вирусом устройств, которые выполняют команды центрального сервера. Ее владелец хочет заразить как можно больше гаджетов. Чем больше гаджетов, тем большая вычислительная мощность под контролем. После того, как под ботнетом будет заражено достаточное количество девайсов, владелец сможет совершать атаки.

Ботнет
Ботнет может поразить как компьютеры, так и другие девайсы, имеющие подключение к интернету

Ботнет не очень требователен к тому, какие устройства он вводит в свою сеть. Если девайс имеет постоянное интернет-соединение, процессор и возможность устанавливать на него вредоносное ПО, его можно использовать в бот-сети.

IoT устройства идеально подходят для создания ботнет сетей. Они имеют стабильное подключение к сети, позволяют вирусу легко проникать в систему и оставаться там незамеченным. Владельцами IoT гаджетов являются обычные пользователи, которые не меняют установленных по умолчанию паролей. Они также не знают, что их роутер или другой гаджет может быть заражен компьютерным вирусом.

Основные риски в Интернете вещей

Основной источник большинства проблем безопасности IoT заключается в том, что производители не тратят достаточно времени и ресурсов на безопасность. Например, большинство фитнес-трекеров с Bluetooth остаются видимыми после первого подключения, а умный холодильник может предоставлять учетные данные для входа в Gmail.

Риски в Интернете вещей
Риски в Интернете вещей

Другая проблема — это недостаток знаний у пользователя. Интернет вещей — это новая технология, поэтому люди до сих пор мало о ней знают.

Еще одним источником угроз является небезопасное программное обеспечение или прошивка. Хотя производитель продает девайс с последним обновлением программного обеспечения, со временем появляются новые уязвимости. Обновления важны для обеспечения безопасности на устройствах интернета вещей. Они должны быть обновлены сразу после обнаружения новых уязвимостей. Тем не менее, по сравнению со смартфонами или компьютерами, которые получают автоматические обновления, некоторые IoT-устройства продолжают работать без необходимых обновлений.

Интернет вещей
Прошивка устройств интернета вещей должна регулярно обновляться

Отсутствие физической защиты также может вызвать проблемы с безопасностью. Если гаджет длительное время находится далеко, то злоумышленник может заразить его, например, используя флеш-накопитель.

Угрозы безопасности в интернете вещей

Рассмотрим два самых опасных вируса, которые существуют на данный момент.

H3 Mirai ботнет

Mirai — это вредоносная программа, которая заражает IoT устройства, превращая их в сеть удаленно управляемых ботов или зомби. Эта сеть используется для запуска DDoS-атак.

Создали Mirai ботнет двадцатилетний Парас Джа совместно с двадцатилетним Джосия Уайт. Они являются соучредителем Protraf Solutions, компании, предоставляющей услуги по защите от DDoS-атак. Это был классический случай рэкета: их бизнес предлагал услуги по смягчению DDoS-атак.

Mirai ботнет
Расположение зараженных устройств, которые участвовали в атаке на Dyn

В сентябре 2016 года авторы вредоносной программы Mirai запустили DDoS-атаку на сайт Krebbs. Неделю спустя они раскрыли исходный код, возможно, в попытке скрыть происхождение этой атаки. Этот код был быстро воспроизведен другими хакерами, за этим последовала массовая атака, обрушившая поставщика услуг регистрации доменов, Dyn, в октябре 2016 года.

Mirai заражает незащищенные девайсы, используя telnet, и ищет те, которые все еще используют заводские логин и пароль по умолчанию. Результативность Mirai обусловлена его способностью инфицировать десятки тыс. этих небезопасных гаджетов, но, кроме того, координировать их с целью организации DDOS-атаки против избранной жертвы.

Как работает ботнет Mirai
Как работает ботнет Mirai

Mirai состоит из двух составляющих: вируса, а также центра управления и контроля (CnC). Вирус работает на зараженном гаджете и может запустить 10 видов атак, а также он запускает процесс сканирования, который активно ищет другие девайсы для компрометации. CnC — это специальный гаджет, управляющий зараженными девайсами (BOT) и отправляющий им команды для запуска атак.

Сканирование осуществляется существующими ботами (зараженными гаджетами). При взломе его учетные данные нового бота отправляются в CnC.

Центр управления и контроля поддерживает обычный интерфейс командной строки, который позволяет хакеру указывать вид атаки, IP-адрес жертвы, а также ее продолжительность. Центр управления и контроля ожидает, пока его существующие боты вернут вновь обнаруженные адреса и учетные данные устройства. Полученные данные он использует для копирования кода вируса и для создания нового бота.

Вирус создан для нескольких различных архитектур ЦП (x86, ARM, Sparc, PowerPC, Motorola), чтобы охватить различные процессоры, используемые в гаджетах интернета вещей.

Satori ботнет

Сатори по-японски означает «Пробуждение». Этот вирус является преемником бот-сети Mirai. Ботнет Satori потенциально заразил более 280 000 IP-адресов за 12 часов, поработив тысячи домашних маршрутизаторов, используя недавно обнаруженную уязвимость нулевого дня.

Три наиболее пострадавших страны — Аргентина (70%), Тунис (15%) и Болгария (4%).

Satori похож на многие другие варианты Mirai тем, что как только компьютер заражен программным обеспечением бота, его можно использовать для поиска новых жертв. Однако он использует специальные эксплойты для увеличения разнообразия и количества гаджетов, на которые возможна атака.

Ботнет Satori
Satori использует новые уязвимости

В конце 2017 года Satori ботнет заражал устройства интернета вещей, используя специальные эксплойты для порта TCP / 37215 на маршрутизаторах Huawei (CVE-2017-17215) и порта TCP / 52869 на устройствах Realtek SDK (CVE-2014-8361). Причем заразить удалось даже те маршрутизаторы, которые были защищены надежными паролями.

В январе 2018 года исследователи отметили, что Satori научился использовать майнеров криптовалюты Claymore. В этой атаке зараженный бот Satori сканирует майнеры криптовалюты Claymore на порт TCP / 3333, который является интерфейсом управления. По умолчанию для этого интерфейса не включена аутентификация. Когда машина Claymore была найдена, Satori похитил адрес кошелька майнера. После этого вирус изменил файл конфигурации майнера, тем самым украл добытую валюту.

Машины майнера не были напрямую заражены вредоносным ПО бота Satori, что обеспечивало только кражу криптовалюты и не увеличивало размер ботнета или мощность DDoS. В мае 2018 это поведение продолжилось, и ряд исследователей отметили, что Satori активно эксплуатирует криптомайнеров. Эта атака на интернет вещей использовала уязвимость CVE-208-1000049.

Атака Satori через порт 8000
Атака Satori через порт 8000

В июле анализ атак CenturyLink Threat Research Labs обнаружил, что боты Satori пытаются заразить устройства Android с включенным Android Debug Bridge (ADB) через порт TCP / 5555. Служба ADB — это функция Android, обычно отключаемая по умолчанию, которая используется разработчиками или персоналом службы поддержки для доступа к расширенным функциям ОС Android.

Satori постоянно развивается, и у него появляются новые модификации.

Методы защиты

В статье, ранее опубликованной на этом сайте, уже были перечислены основные методы защиты (https://future2day.ru/6-sovetov-o-tom-kak-obezopasit-iot-devajsy/ ):

  1. Всегда обновляйте ПО.
  2. Защищайте все устройства надежными паролями.
  3. Подключите гаджеты к отдельной сети.
  4. Перед покупкой девайса проверяйте его безопасность.
  5. Отключите UpnP.
  6. Защитите основную сеть.

Приведем некоторые дополнительные меры, которые повысят безопасность ваших девайсов:

  1. Отключите неиспользуемые функции. Это нужно сделать потому, что хакеры извне вашей сети могут обнаруживать ваши устройства, используя определенные уязвимости в протоколе.
  2. Идентифицируйте все устройства IoT. Вы должны найти все девайсы, включая, казалось бы, безвредную кофемашину. Для этого можно воспользоваться бесплатными инструментами, которые автоматически идентифицируют подключенные устройства.
  3. Используйте программное обеспечение от сторонних производителей для усиления безопасности. Хотя ваши гаджеты могут поставляться со встроенной защитой прямо из коробки, эти функции безопасности по умолчанию часто слабее по сравнению со сторонним программным обеспечением. Программное обеспечение, без которого ваш дом или предприятие не могут обойтись — это VPN. VPN защищает ваши девайсы от ботнета двумя способами:
  • Скрывает истинный IP-адрес, что затрудняет хакерам доступ к вашим устройствам IoT.
  • Зашифровывает онлайн-данные, предотвращая чтение и использование вашего потока данных.
Промышленный интернет вещей
Промышленный интернет вещей

Конечно, безопасность IoT не ограничивается перечисленными мерами. Проблема гораздо сложнее и должна решаться на всех уровнях, начиная с этапа проектирования. Некоторые технологические гиганты, такие как Microsoft, Intel, ARM и Honeywell, уже сосредоточились на решениях безопасности.

Однако интернет вещей развивается гораздо быстрее, чем технологии, способные обеспечить безопасность устройств и их пользователей. Поэтому в большинстве случаев ваша кибербезопасность находится в ваших руках.

future2day.ru