Specjaliści z F5 Labs w najnowszym raporcie Threat Intelligence report ostrzegają, że organizacje nie mogą dłużej ignorować nieuchronnego wzrostu Thingbotów – botów zbudowanych z urządzeń IoT, które szybko stają się preferowanym celem cyberprzestępców.
W porównaniu z poprzednim rokiem ilość ataków brute force na protokół telnet skierowanych przeciwko urządzeniom IoT wzrosła o 249%. Zdecydowana większość z nich miała źródło w Chinach – aż 44% złośliwego ruchu pochodziło z Państwa Środka i adresów IP zlokalizowanych w chińskich sieciach. Kolejno, Stany Zjednoczone i Rosja są krajami z najwyższą aktywnością „hakerów”. Polska również znalazła się w top 10 krajów, z których pochodzą zagrożenia z 2% udziałem w globalnych atakach w grudniu 2017. Co istotne, w przeciągu dwóch ostatnich lat wiele ataków pochodziło z tych samych adresów IP oraz sieci. Oznacza to, że złośliwy ruch nie jest wykrywany przez odpowiednie służby lub jest ignorowany.
W drugim półroczu 2017 roku F5 Labs odnotował spadek liczby ataków w porównaniu do pierwszej połowy roku. Jednak porównując dane w dłuższej perspektywie poziom cyberprzestępczości był wyższy niż podczas największej aktywności botneta Mirai, który we wrześniu 2016 roku zainfekował setki tysięcy urządzeń IoT, w tym systemów CCTV, routerów i nagrywarek DVR.
Analizując ruch sieciowy od lipca do grudnia 2017 F5 Labs stwierdził, że hakerzy pracują nad budowaniem licznych, bardzo dużych thingbotów. Ponadto, warto pamiętać, że potencjał Mirai nigdy nie został w pełni wykorzystany w przeprowadzonych atakach. Za to kod botneta został udostępniony i w konsekwencji stanowi trzon kilku nowych thingbotów, które wciąż są aktywne.
Społeczność ekspertów cyberbezpieczeństwa często mówi o IoT jako o Internecie Zagrożeń (Internet of Threats). Są ku temu powody. Prognozy wskazują na niepohamowany wzrost destrukcyjnego arsenału Internetu Rzeczy. Według analiz Gartnera obecnie w użyciu jest 8.4 miliarda urządzeń IoT, a liczba ta ma wzrosnąć do 20.4 miliardów w 2020 roku. Z kolei IHS szacuje, że do 2020 roku będzie 30 miliardów tych urządzeń, podczas gdy producent półprzewodników SoftBank mówi aż o trylionie do 2035 roku.
Jeszcze nie doszliśmy do etapu masowego przyjęcia urządzeń IoT na skalę konsumencką. Jeżeli już teraz nie zmienimy naszych standardów dotyczących rozwoju tej technologii, to wprowadzimy na rynek ogromną liczbę narażonych na zagrożenia urządzeń Internetu Rzeczy. Jest to prosta recepta na chaos zarówno w świecie wirtualnym, jak i realnym.
– komentuje Ireneusz Wiśniewski, Dyrektor Zarządzający w F5 Networks.
Obecnie zagrożenia cyberatakami nie są jedynie związane z utratą danych, kradzieżą tożsamości czy kosztowną niedostępnością systemów. Ich skutki widoczne są też w realnym świecie, szczególnie w kontekście wykorzystywania przez hakerów Internetu Rzeczy. Polegamy na tych połączonych urządzeniach w tak kluczowych dziedzinach jak m. in. zarządzanie ruchem drogowym czy systemami na lotniskach, ostrzeganie i zarządzanie w sytuacjach awaryjnych lub kryzysowych. Jeżeli nie potraktujemy tych zagrożeń poważnie, konsekwencje cyberataków mogą mieć wpływ także na nasze życie i zdrowie.
Telnet: łatwy do osiągnięcia cel?
Podczas gdy telnet wciąż pozostaje popularną metodą do przeprowadzania ataków na IoT, F5 Labs odkryło, że cyberprzestępcy coraz częściej zmieniają stosowane taktyki.
Przykładowo, z badań F5 Labs wynika, że co najmniej 46 milionów domowych routerów jest narażonych na zdalne ataki command injection przeciwko protokołom TR-069 i TR-064. Protokoły te, stworzone aby dostawcy usług internetowych mogli na odległość zarządzać routerami swoich klientów, były wykorzystane przez thingbot Annie. Ataki hakerów spowodowały masową utratę dostępu do sieci dla klientów kilku wiodących dostawców telekomunikacyjnych. Annie, to właśnie jeden z pięciu do tej pory zidentyfikowanych thingbotów stworzonych na bazie kodu Mirai (pozostałe to Persirai, Satori, Masuta i Pure Masuta). Spośród nich tylko Persirai i Satori wykorzystują telnet, aby uzyskać dostęp do atakowanych urządzeń.
Bardzo prawdopodobnym jest, że hakerzy przeprowadzają ataki z wykorzystaniem thingbotów, o których nigdy się nie dowiemy. Cyberprzestępcy właśnie na to liczą. Przykładowo, kopanie kryptowalut daje pole do przeprowadzenie ataku, który trudno wykryć, jeżeli nie powoduje wyraźnych skutków dla użytkownika, takich jak np. spowolnione działanie urządzenia.
– tłumaczy Ireneusz Wiśniewski.
Firmy, chcąc uniknąć zagrożeń związanych z thingbotami, powinny wprowadzić dodatkowe zabezpieczenia kluczowych usług oraz przeciwdziałać atakom ukierunkowanym na kradzież tożsamości poprzez dodatkową kontrolę danych logowania i wielopoziomowy proces uwierzytelniania. Ponadto, należy pamiętać o deszyfryzacji w sieci, aby wyłapać złośliwy ruch, który może być zakodowany. Dodatkowo trzeba zapewnić, aby wszystkie urządzenia podpięte do sieci przechodziły przez system do wykrywania zagrożeń dla bezpieczeństwa informacji. Jednocześnie kluczowe jest regularne przeprowadzanie audytów bezpieczeństwa urządzeń IoT, testowanie tych sprzętów przed wprowadzeniem ich do użytku oraz wprowadzenie programów edukacyjnych dla pracowników.
