Три ботнета на границе IoT

Количество подключенных устройств растет стремительными темпами. По оценкам Statista, к примеру, к 2025 г. этот показатель в глобальных масштабах достигнет 75,4 млрд. Столь быстрый рост создает проблемы безопасности, особенно в отношении недавних ботнетов типа Satori, которые заражают устройства программами для майнинга криптовалют.

Ниже приведены лишь некоторые из числа самых опасных ботнетов, а также соображения относительно борьбы с ними для защиты IoT.

Простота установки и низкая цена сделали IP-камеры очень популярными, в результате чего многие компании выбирают их вместо традиционных CCTV-систем. Но подобно любому другому IoT-устройству, их можно удаленно взломать. Что наглядно демонстрирует ботнет Hide‘N Seek (HNS). Эта сеть ботов способна заражать устройства через специфический P2P-протокол, используя уязвимость Reaper. Текущая версия может получать и выполнять различные типы команд для извлечения данных, выполнения кода или создания помех в работе устройства. В атаке, обнаруженной в январе, было зарегистрировано свыше 20 тыс. зараженных устройств, большинство из которых представляли собой IP-камеры.

Satori – это модифицированная версия ботнета с окрытым кодом Mirai. Этот ботнет также способен удаленно контролировать подключенные устройства. Но в отличие от Mirai, который был вовлечен в DDoS-атаки на DNS-провайдера Dyn в 2016 г., Satori способен на большее. В январе было установлено, что он использует уязвимость программы для майнинга криптовалют Claymore Miner. После получения контроля над ПО, Satori заменяет адрес кошелька пользователя на кошелек, который контролируется хакером. Затем хакер получает все криптовалюты пользователя, который не в курсе произошедшего до тех пор, пока не проверит конфигурацию ПО вручную.

Ботнет Masuta – это другое создание авторов Satori. В этом случае Masuta использует преимущества уязвимостей роутеров двумя различными способами. С одной стороны, они получают доступ к устройствам, используя регистрационные данные заводской настройки, подобно тому, как это делает ботнет Mirai. С другой стороны, вариант PureMasuta использует старый баг, обнаруженный в Home Network Administration Protocol (HNAP). К счастью, все меньше и меньше моделей роутеров поддерживают этот протокол по умолчанию.

Как же защититься от подобных ботнетов? Как и в любой сети, подключенные устройства могут никогда не достичь состояния полной неуязвимости. Но предотвратить возможные атаки или хотя бы быть лучше подготовленным к ним реально.

При разворачивании системы видеонаблюдения, рекомендуется использовать камеры, которые будут подключены по кабелю, а не беспроводным образом. Беспроводная сеть увеличивает возможности хакеров по внедрению вредоносных программ в систему. Также предпочтительно поддерживать внутренний сервер для управления данными системы видеонаблюдения (вместо использования внешнего сервера). Таким образом, вероятность несанкционированного доступа к системе значительно снижается.

Что касается криптовалют, самый безопасный вариант управления ими – это хранить их в физическом кошельке (аппаратные устройства с флэшкой, которая подключена через USB). Эти кошельки хранят закрытые ключи и позволяют подписывать транзакции, не подвергая их риску.

Что касается роутеров, то лучшая рекомендация по защите от атак ботнетов, которые используют старые уязвимости, – это убедиться, что на них установлены самые последние версии прошивки, и использовать более современные и безопасные протоколы, такие как ожидаемый WPA3.

Наконец, в качестве основной рекомендации, необходимо постоянно отслеживать трафик вашей корпоративной сети во избежание несанкционированного доступа. Лучший способ избежать атаки ботнета – это иметь видимость всего, что происходит в вашей компании, минимизируя векторы атаки.