Что такое brute force атаки на "Интернет вещей" и почему они никуда не исчезнут
"Интернет вещей" уже давно стал неотъемлемой частью нашей повседневной жизни. Дома и в офисе мы все больше используем разнообразные устройства, подключенные к интернету - маршрутизаторы, принтеры, телевизоры, IP-камеры, умные лампы, радионяни и многое другое. За последние несколько лет число IoT-девайсов выросло во много раз и будет продолжать расти. Всем известно, что эти устройства уязвимы и несовершенны, при этом они оставляют у пользователя ложное ощущение безопасности. Что такое brute force атаки на "Интернет вещей" и почему они никуда не исчезнут, рассказал эксперт по кибербезопасности компании Allot Ноам Ковартовски.
Знаменитые IoT-атаки
В 2016 году мощная IoT-атака на DNS-провайдера Dyn взорвала мировые СМИ, что сделало Mirai синонимом вредоносного ПО, использующего IoT-устройства. С тех пор Mirai породил множество вариантов. В основе Mirai и его потомков лежит старый и хорошо известный вектор атак, называемый методом brute force. Он состоит в том, что хакеры пытаются взломать устройство, используя список популярных, скрытых учетных данных и учетных данных по умолчанию.
Еще в недавнем прошлом наши компьютеры и email-аккаунты были подвержены атакам brute force, но Microsoft, Apple и другие IT-гиганты внедрили механизмы для их предотвращения. Спустя почти три года после того, как Mirai был обнаружен, атаки brute force остаются самыми распространенными и эффективными для IoT. Давайте разберемся, почему.
Насколько уязвимы IoT-устройства для кибератак?
Насколько легко атаковать IoT-устройство? Сегодня это так просто, что даже 10-летний ребенок может подключить тысячи устройств за считанные минуты, используя готовые скрипты. Дело в том, что большинство IoT- устройств по-прежнему используют для аутентификации пароли по умолчанию, не говоря уже об устройствах, которые вообще их не используют. Поэтому неудивительно, что атаки с использованием переборов Telnet и SSH по-прежнему составляют почти 70% всех IoT-атак.
Наше исследование также показывает, что для каждого устройства число уникальных атакующих и количество атак методом перебора является относительно стабильным и высоким.
IoT атаки brute force
Несмотря на то, что метод brute force, вероятно, самый старый и наименее сложный, на удивление, он все еще очень распространен и эффективен. Создается впечатление, что большинство поставщиков IoT-гаджетов не чувствуют ответственности за безопасность своих устройств и клиентов. Большинство рядовых пользователей не имеют ни малейшего представления о проблемах безопасности этих продуктов, и даже если они меняют пароль по умолчанию (а многие не делают и этого), устройства по-прежнему имеют скрытые закодированные учетные записи, которые после утечки становятся мишенью для хакеров. Патчи для их устранения либо отсутствуют, либо несовместимы. Что хуже, OEM-устройства или маркированные устройства делают жизнь хакеров еще проще, поскольку одни и те же уязвимости переносятся на другие устройства.
В результате миллионы уязвимых устройств, подключенных к интернету, становятся легкой целью для злоумышленников. Когда таким большим количеством устройств можно легко управлять, это просто вопрос времени, когда хакеры их атакуют и сделают частью ботнета для организации DDoS-атак или майнинга криптовалюты. Также киберпреступники используют их для фишинга, программ-вымогателей, продажи прокси-сервисов или для того, чтобы вывести устройство из строя.
Существуют тысячи различных вариантов вредоносного ПО. Домашний маршрутизатор сканируется или подвергается атаке каждые 10 секунд, и каждое уязвимое IoT-устройство с паролем по умолчанию подвергается атаке не реже одного раза в минуту на портах SSH, Telnet или HTTP.
Но как злоумышленники получают эти учетные данные?
Существует более 25 тысяч различных учетных данных только для перебора SSH и Telnet. Однако топ-100 используют гораздо чаще, чем остальные. Около половины этих популярных учетных данных закодированы в исходный код вариантов Mirai, а остальные очень легко найти в интернете. При анализе этих учетных данных становится ясно, что существует две группы: первая группа содержит общие учетные данные, такие как "admin: admin", "root: 1234" и "root: root", которые используются большим количеством различных устройств. Это общая группа составляет 27% атак. Вторая группа зависит от устройства и предоставляет учетные данные для конкретных сетевых устройств, включая маршрутизаторы, контроллеры, принтеры и серверы. Но самым подверженным взлому устройством, которому принадлежит большая часть учетных данных во второй группе, являются IP-камеры - 27%.
Анализируя IoT-атаки типа brute force, мы видим, что злоумышленники постоянно улучшают существующее вредоносное ПО, расширяя базу данных паролей по умолчанию и пытаясь атаковать дополнительные порты Telnet, SSH и HTTP.
Важно помнить, что создать "армию" IoT-ботов по-прежнему наиболее желанная цель для хакеров, и, следовательно, нет необходимости атаковать определенные устройства. Достаточно найти устройство, которое может быть скомпрометировано одним из методов атаки. При таком количестве используемых сегодня уязвимых IoT устройств (а их число растет с каждым днем), это не проблема.
В заключение
Атаки методом brute force остаются эффективными, но хакеры не ждут, когда отрасль проснется - они уже разрабатывают новые направления атак. Действительно, исследования по безопасности показывают, что методы IoT-атак эволюционируют и находятся на подъеме. Некоторые из них относятся к типу brute force и используют дополнительные порты и протоколы. Другие методы призваны затруднить обнаружение атаки и защиту от нее с помощью различных инновационных функций. Устройства становятся умнее, атаки становятся умнее. Нам также пора стать умнее.