Zgodnie z najnowszym raportem The Hunt for IoT (październik 2019) liczba wykrytych thingbotów wzrasta. Eksperci F5 Labs pokazują w raporcie dwadzieścia sześć aktywnych i nowych, z których 88 proc. należy do grupy post-Mirai. Europa pozostaje terytorium najbardziej narażonym na potencjalne ataki wzorowane na tym botnecie. Rozprzestrzenianie się thingbotów nie słabnie, a stoją za tym wszyscy użytkownicy: zaczynając od dzieci, a kończąc na organizacjach na poziomie państw narodowych.
Skala zagrożenia rośnie, tym bardziej że – jak wskazuje raport – ataki thingbotów są tanie i mają ogromne możliwości. Wystarczy, że na urządzeniu IoT zostanie raz zainstalowany malware, żeby bot kontaktował się z serwerem i zaczął pobierać jego polecenia (najczęściej dotyczące przeprowadzenia ataków DDoS). Ponadto, thingboty angażują serwery proxy do zbierania informacji z ruchu pomiędzy urządzeniami, szyfrowanego ruchu, kopania kryptowalut oraz przeprowadzania ataków na aplikacje internetowe. Podobne usługi sprzedawane są już nawet na Instagramie. Młodociani hakerzy budują i sprzedają botnety w abonamencie już od 5 dolarów miesięcznie.
Dane od partnera F5 Labs – Baffin Bay Networks wskazują, że Europa w zainfekowanych urządzeniach IoT ma więcej skanerów Mirai (które próbują rozprzestrzeniać infekcję) niż jakikolwiek inny region na świecie. Obok oryginalnego zagrożenia z botnetu Mirai funkcjonują też jego odgałęzienia – klony.
Podczas testów przeprowadzonych przez naszych kolegów z F5 Labs na urządzeniach IoT stosowanych we wdrożeniach infrastruktury krytycznej (np. zapewnianiających usługi internetowe dla flot ratunkowych) – aż 62 proc. z badanych struktur zostało uznanych za podatne na zagrożenia. Warto zwrócić uwagę, że powinny to być najbezpieczniejsze urządzenia i systemy. Tymczasem liczba wszystkich urządzeń IoT, łącznie z tymi „mniej bezpiecznymi” ma osiągnąć szacunkowo 20 miliardów sztuk do końca przyszłego roku. Skala podatności, a tym samym wykorzystania do ataków jest więc bezprecedensowa
– mówi Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland.
Hunt for IoT donosi ponadto, że routery domowe i firmowe (SOHO), kamery IP, cyfrowe urządzenia nagrywające (DVR), rejestratory monitoringu wizyjnego (NVR) i telewizje przemysłowe czy dozorowe (CCTV) pozostają głównymi zainfekowanymi przez thingboty urządzeniami IoT.
Thingboty celują w urządzenia Internetu Rzeczy używając http oraz publicznie dostępnych, uniwersalnych protokołów (UPnP, HNAP, SSH) – na marginesie, te usługi nie powinny być w ogóle publicznie dostępne. 30% nowo odkrytych thingbotów próbuje się dostać do IoT poprzez typowe podatności i ekspozycje, które są uwzględnione na CVE – dostępnej publicznie liście możliwych wejść.
