8 декабря воскресенье

Хакеры устроили восстание машин

Атаки через IoT-устройства происходят все чаще и становятся мощнее, на прошлой неделе благодаря интернету вещей удалось вызвать перебои в работе крупнейших сервисов

Хакеры устроили восстание машин
Аналитика 24 октября 2016 •  runet

Хакеры устроили восстание машин

Атаки через IoT-устройства происходят все чаще и становятся мощнее, на прошлой неделе благодаря интернету вещей удалось вызвать перебои в работе крупнейших сервисов

24 октября 2016 👁 55903

В пятницу, 21 октября, была зафиксирована крупная DDoS-атака на провайдера Dyn. Она привела к сбоям в работе таких ресурсов, как  Twitter, Amazon, Reddit, Airbnb, Tumblr, GitHub, PayPal, Spotify, SoundCloud, Medium, The New York Times и Vox Media. В общей сложности Dyn работает с 6% компаний из списка Fortune 500. В атаке были задействованы «десятки миллионов отдельных IP адресов». По некоторым данным мощность атаки достигала 1,2 Тб/с. Ответственность за взлом на себя взяли New World Hackers, но эксперты говорят, что нападение было организовано через IoT-устройства.

Атака была замечена экспертами из службы X-Force IBM примерно в 12:30 PM EDT (8:30 МСК), говорится в отчете, присланном в редакцию theRunet. Аналитики выделили три этапа кибернападения. Первый начался в 7:00 AM EDT (15:00 МСК) 21 октября, второй — через 5 часов, в 12:00 PM EDT (8:00 МСК). «Третий был зафиксирован несколько позже, но во время него никакого ощутимого воздействия на систему не было», — указано в отчете. Нормальная работа сервисов была восстановлена в 1:00 PM EDT (21:00 МСК).

Представители группировки сказали, что поводом к проведению атаки послужило отключение интернета основателю WikiLeaks Джулиану Ассанжу, который находится в посольстве Эквадора в Лондоне. В отчете IBM также упоминается пост New World Hacking в Twitter, опубликованный 22 октября, где говорится о том, что группа уходит в отставку. «Мы взломали сеть не ради славы, а по определенной причине. Мы не хотим провести остаток жизни в тюрьме», — сообщили хакеры.

Сходства с атакой на OVH

Это нападение было одним из самых мощных за все время, в прошлый раз с такой же силой был атакован французский хостинг-провайдер OVH. Скорость трафика достигала  1 ТБ/с.

Ранее от тех же хакеров пострадал сайт KrebsOnSecurity, принадлежащий исследователю в области кибербезопасности Брайну Кребсу. Атака на Кребса была намного слабее, но и она тогда впечатлила экспертов.

Алексей Качалин
заместитель директора по развитию бизнеса компании Positive Technologies в России
В сентябре 2016 года аналогичная атака на сайт krebsonsecurity.com — 620 Гб/с, около 1 млн. взломанных IoT-устройств считалась пределом возможностей. Последние события показали, что это далеко не максимальный показатель

В случае с OVH атака осуществлялась с помощью ботнета, состоящего более, чем из 150 тысяч IoT-устройств. При этом бот-сеть, использованная для атаки, была способна генерировать до 1,5 Тб/с, используя tcp/ack, tcp/ack+psh и tcp/syn, заметил Дмитрий Волков, руководитель департамента киберразведки, сооснователь Group-IB. Эксперт также подчеркнул, что Атаки на компании Dyn и OVH действительно стали самыми мощными в истории.

Дмитрий Волков
Руководитель департамента киберразведки, сооснователь Group-IB
Достигнуть таких мощностей помогли как раз IoT-устройства. Первой целью была компания OVH. Для атаки использовалась бот-сеть под названием Mirai, состоящая по большей части из IoT-устройств, в том числе камер наблюдения и DVR (видеорегистраторов)

Cеть насчитывала 145 607 камер наблюдения, написал тогда в своем Twitter глава крупнейшего европейского хостинга.

Впоследствии исходный код составляющих ботнета Mirai, предположительно использованного при проведении этих атак, был опубликован  пользователем «Anna-senpai» на андеграундном форуме, отметил Волков.

В сообщении содержались инструкции для настройки ботнета. Исходный код также появился на GithubХакеры часто публикуют коды в открытом доступе, чтобы защитить себя, таким образом, доступ к вирусу появляется у многих разработчиков и автор кода больше не является его единственным владельцем. После этого доказать вину подозреваемого становится невозможно.

Дмитрий Волков
Руководитель департамента киберразведки, сооснователь Group-IB
Публикация исходных кодов привела к тому, что эту вредоносную программу станут использовать все большее количество атакующих. И атаки будут также мощными.

В случае с Mirai так и произошло. Как указано в отчете IBM, этот вирус использовался и при атаке Dyn. При этом оба нападения вполне могли быть организованы разными людьми, отмечает Денис Легезо, антивирусный эксперт «Лаборатории Касперского».

Денис Легезо
антивирусный эксперт «Лаборатории Касперского»
После инцидента с сайтом Кребса код Mirai был выложен в открытый доступ и им мог воспользоваться кто угодно

Публикация кодов имеет и позитивный эффект, они могут использоваться в образовательных целях, а также для выпуска патчей. 

 

Андрей Арефьев
директор по развитию продуктов ГК InfoWatch
Я за открытую безопасность и считаю, что если проблема доступна широкой общественности, то ее быстрее исправят производители

Как работают ботнет-сети?

Принцип работы подобных вирусов заключается в сканировании всего диапазона IP-адресов для поиска устройств со стандартными (дефолтными) учетными данными для заражения и распространения ботнета, рассказывает Волков. Задачу хакерам облегчает то, что сейчас нет никаких стандартов безопасности интернета вещей.

Мошенники получают доступ к устройствам интернета вещей с помощью подбора паролей, подыскать ключ к IoT-гаджетам проще, чем к ПК. Как правило, для доступа к «умной» технике используются стандартные комбинации.

Денис Легезо
антивирусный эксперт «Лаборатории Касперского»
К устройствам интернета вещей довольно легко получить доступ, ведь многие пользователи не меняют стандартные настройки от производителя, включая пароли, обновления прошивок выходят нерегулярно и они редко устанавливаются владельцами на конечные устройства

Зачастую хакеры подключаются к устройствам благодаря тому, что разработчики используют один и тот же пароль для различных гаджетов. Как показывают исследования Positive Technologies, в ряде атак на IoT, помимо вышеперечисленных уязвимостей, использовались также бэкдоры, оставленные разработчиками (как правило в виде служебных учетных записей с одинаковым паролем на всех устройствах).

 

Мария Воронова
ведущий эксперт по информационной безопасности, руководитель направления консалтинга ГК InfoWatch
Создается впечатление, что при проектировании технологий для IoT вопросы информационной безопасности (ИБ) если и рассматриваются, то зачастую не в самую первую очередь, а дальнейшие доработки с точки зрения информационной безопасности происходят с учетом выявленных уязвимостей, к сожалению, уже в процессе жизненного цикла продукта

Через интернет вещей хакеры могут получить доступ к конфиденциальным данным пользователя. Например, через умные часы по Bluetooth можно подключиться к смартфону. «При этом устройство может «забирать» с подключенного смартфона учетные данные WiFi-точек и самостоятельно выходить в сеть Интернет без дополнительных действий владельца», — рассказывает Качалин.

В России стандарты безопасности в сфере IoT достаточно сложно выработать, поскольку «умные» гаджеты не так распространены, как в развитых странах.

Алексей Качалин
заместитель директора по развитию бизнеса компании Positive Technologies в России
По оценкам аналитиков доля IoT в РФ составляла 1,5% от мировой в 2015 г и несмотря на многократный рост в абсолютном количестве устройств к 2020 году сократится до 0,3%. Таким образом отставание будет только увеличиваться. В таких условиях сложно говорить о возможности диктовать мировому рынку требования к продуктам, в том числе и по безопасности

Дальше — больше

По мнению экспертов, в будущем стоит ждать более серьезных и мощных атак. «Сейчас к интернету вещей подключено гораздо больше устройств, чем в предыдущие годы. Каждый день их становится все больше, и они защищены меньше, чем когда-либо. Из-за этого хакерам проще их скомпрометировать и использовать в собственных целях», — отметили эксперты из исследовательского подразделения Cisco Talos, занимающимся мониторингом и анализом киберугроз.

Аналитики Cisco также подчеркнули, что атаки становятся более продуманными. Хакеры концентрируются на конкретной цели, из-за чего атаку сложнее предотвратить.

«Атака, для которой раньше требовалось 100 скомпрометированных систем, сейчас может быть произведена из дома при помощи всего одного домашнего сетевого соединения» — Cisco Talos

Кроме того, стоит иметь резервное соединение, чтобы в при DDoS-атаке сайт компании оставался доступным для пользователей. 

Фактически, сейчас нет никаких серьезных способов защиты IoT от хакеров и ответственность за безопасность лежит, скорее, на вендорах, «которым необходимо уделять больше внимания безопасности умных устройств на этапе производства», — говорит Легезо. Также за безопасностью интернета вещей должны следить представители госструктур и разрабатывать законодательную базу и новые стандарты использования подобных устройств. Если же никакие меры не будут предприняты, то новые атаки могут стать угрозой нормального функционирования всего интернета.

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.

Теги: , , , , , , , ,
Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.