DDoS-атака с IoT устройств

22-01 IoT

Маленький домашний роутер, модный утюг с Wi-Fi, умный телевизор – все эти устройства могут стать инструментами для кибер-преступника, ведь каждое из них имеет доступ к сети Интернет, а значит, может быть взломано и использовано для DDoS-атаки на любой публичный сервер. Вы даже не будете знать о совершаемых преступлениях, пока ваш провайдер с помощью системы глубокого анализа трафика (DPI) не определит аномальный всплеск сетевой активности с вашего адреса и не заблокирует доступ в Интернет.

Атаки на IoT

До недавнего времени атаки на IoT-устройства были направлены в первую очередь на хищение данных пользователей, однако сейчас злоумышленников больше интересует контроль над устройством с целью включения его ботнет и осуществления DDoS-атак.

Интернет вещей (англ. Internet of Things, IoT) – концепция вычислительной сети физических предметов («вещей»), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой.

Согласно отчету компании Symantec, 2015 год стал рекордным по числу нападений на IoT, в Сети появилось восемь новых семейств вредоносных программ. Больше половины всех нападений происходили из Китая и США, за ними следуют Россия, Германия, Голландия, Украина и Вьетнам.

pic2

Эти цифры показывают, с IP-адресов какой страны были произведены запуски вредоносных программ, но в некоторых случаях злоумышленники используют прокси-серверы, чтобы скрыть свое местоположение.

Причин, по которым преступники выбирают для взлома именно IoT-устройства, несколько:

  1. Многие из них постоянно доступны из сети Интернет, но так как не обладают высокой вычислительной мощностью, лишены встроенных средств защиты.
  2. Такие устройства чаще всего настраивают один раз при установке, а потом про них забывают. Пользователь не знает обо всех функциях безопасности, не обновляет программное обеспечение – эти факторы повышают риск взлома.
  3. Пользователь не меняет заводские логины и пароли, которые легко можно найти в Интернете для любого устройства.

Проверьте, может быть, на ваш Wi-Fi-роутер можно зайти для администрирования под одним из сочетаний логин/пароль из таблицы:

П

опулярный логин

Популярный пароль
root admin
admin admin
admin password
root password
admin root
DUP root 123456
ubnt 12345
access ubnt
DUP admin password
test 1234
oracle test
postgres qwerty
pi raspberry

Злоумышленники используют простую тактику: сканируют все доступные IP-адреса для обнаружения открытых портов Telnet или SSH. Обнаружив таковые, осуществляют попытку входа с помощью стандартных логинов и паролей. Если доступ к оборудованию получен, на него загружается файл скрипта (.sh) с помощью команд wget или tftp, который в свою очередь скачивает и запускает тело бота под нужную операционную систему.

pic3

После того как бот запущен, он устанавливает шифрованное соединение с управляющим сервером (Command and Control (C&C) server) и ждет команды для совершения атаки.

Развитие кросс-платформенных вредоносных программ ставит под удар все новые типы устройств (веб-серверы, маршрутизаторы, модемы, устройства NAS, системы видеонаблюдения), работающие не только на популярных архитектурах x86, ARM, MIPS, Mipsel, но и на более редких PowerPC, SPARC и SuperH.

Более того, новые «черви» способны бороться с конкурентами, закрывая доступ к устройству после того, как запустили себя, блокируя порты Telnet и внося изменения в iptables.

Наиболее распространенные вредоносные программы, атакующие IoT-устройства: Linux.Darlloz, Linux.Aidra, Linux.Xorddos, Linux.Gafgyt, Linux.Ballpit, Linux.Moose, Linux.Dofloo, Linux.Pinscan, Linux.Kaiten, Linux.Routrem, Linux.Wifatch и Linux.LuaBot.

pic5

Как защитить свою сеть и устройства

Чтобы минимизировать риск взлома ваших IoT-устройств, а следовательно – предотвратить атаки злоумышленников на общедоступные сайты, необходимо произвести несколько простых действий:

  1. Изучить возможности устройства по обеспечению безопасности перед покупкой.
  2. Провести аудит уже имеющихся в вашей сети устройств (настройки безопасности, актуальные версии ПО).
  3. Использовать уникальные пароли для доступа на устройство и подключения к сети Wi-Fi (нельзя использовать admin, root, password, 123456 т. п.).
  4. Использовать надежные методы шифрования при подключении к Wi-Fi (WPA).
  5. Отключить неиспользуемые сетевые функции устройства (сетевая печать, интернет-облако и т. п.).
  6. Отключить Telnet-доступ и использовать SSH.
  7. Отключить удаленный доступ к устройству, если он не используется.
  8. Регулярно обновлять встроенное ПО с сайта производителя.
  9. Уделить внимание настройкам безопасности устройства в соответствии с вашими требованиями.
  10. Использовать проводное соединение вместо Wi-Fi, где это возможно.

Сейчас основной целью взлома IoT-устройств является именно организация DDoS-атак, но с ростом мощности оборудования цели преступников могут поменяться и под ударом окажется финансовый сектор, промышленные предприятия и крупные компании. Кража данных или взлом систем управления таких организаций может причинить значительно больший ущерб, нежели простое ограничение доступа к сайту в сети Интернет. И ваше домашнее устройство может стать участником этих преступлений.

Вы не одиноки в борьбе с преступниками

Операторы связи и интернет-провайдеры со своей стороны также организуют мероприятия по защите от DDoS. Мониторинг трафика в реальном времени с помощью систем DPI позволяет отслеживать аномалии и всплески загруженности полосы пропускания, определять, от какого узла сети осуществляется атака, и блокировать его.

Для защиты используются различные поведенческие стратегии (behavioral DDoS protection), а также более простые и эффективные методы, например использование теста Тьюринга (странички с CAPTCHA). А функция Carrier Grade NAT позволяет «спрятать» устройство абонента от злоумышленников, закрыв доступ к нему из сети Интернет.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *