Старший брат следит за тобой. Как защитить себя в цифровом мире - [164]
КЕЙС В одном из американских казино был установлен «умный» аквариум с функциями автоматического контроля за кормлением рыбок и слежения за характеристиками воды. Термостат аквариума был подключен к интернету, чтобы обслуживающий персонал знал о перегреве или, наоборот, чрезмерном охлаждении воды. Несмотря на меры предосторожности (на устройстве был настроен отдельный защищенный VPN-канал с целью предотвращения доступа к внутренней сети казино), хакеры все же смогли скомпрометировать термостат и использовать его, чтобы получить доступ к другим узлам в сети казино. Прежде чем взлом был обнаружен и лазейка закрыта, злоумышленники успешно похитили 10 Гб данных и передали их на некий сервер в Финляндии. Атака оказалась успешной, так как для взлома использовалось необычное устройство. Инцидент говорит о том, что нужно тщательно контролировать пользователей и устройства, включая «умные» аквариумы[1090].
Компания Dr. Web с 2016 г. анализирует векторы атак на устройства интернета вещей, разворачивая сети ханипотов, имитирующих различные «умные» устройства и действующих как приманки. Если за 4 месяца 2016 г. было зарегистрировано 729 600 атак, то через год их было 23,7 млн. Еще через год количество атак достигло 99,2 млн, а за первое полугодие 2019 г. было зафиксировано 73,5 млн атак – столько же, сколько за весь 2018 г. Менее чем за три года количество попыток взлома и заражения устройств интернета вещей возросло на 13 497 %. Среди стран с наибольшим количеством зарегистрированных атак в IoT-сфере лидировали США (39,9 %), затем шли Нидерланды (16,74 %), и замыкала тройку Россия (9,53 %).
Аналогичные исследования проводила в 2017 г. и компания «Лаборатория Касперского». Первые атаки на ханипоты, имитирующие различные устройства под управлением операционной системы Linux, были зафиксированы всего через несколько секунд после начала эксперимента, а за сутки было зарегистрировано несколько десятков тысяч обращений с уникальных IP-адресов. При этом чаще всего использовался протокол telnet и гораздо реже – SSH. Атаки осуществлялись с различных устройств: в 63 % случаев это были DVR-сервисы и IP-камеры, в 16 % случаев – различные сетевые устройства и маршрутизаторы практически всех основных вендоров. 1 % составляли Wi-Fi-репитеры и прочее сетевое оборудование, телевизионные приставки, устройства для IP-телефонии, выходные узлы Tor, принтеры, устройства «умного» дома. Около 20 % устройств опознать не удалось. Также велись атаки с IP-адресов, в сети которых были кассовые терминалы магазинов, ресторанов и АЗС; системы цифрового телевещания, системы охраны и контроля за доступом в помещения; устройства экологического мониторинга; программируемые микроконтроллеры, используемые в промышленности, и системы управления электропитанием[1091].
Вредоносные программы, атакующие IoT-устройства, можно разделить на несколько базовых категорий в соответствии с их основными функциями:
■ Трояны для DDoS-атак. Наиболее распространенным зловредом такого рода является Mirai. Он появился в 2016 г., позднее его исходный код был опубликован, из-за чего появилось множество модификаций. После заражения устройства Mirai соединяется с управляющим сервером в ожидании команд для проведения DDoS-атак.
■ Трояны, распространяющие, загружающие и устанавливающие другие вредоносные приложения и вспомогательные компоненты (например, Linux.DownLoader и Linux.MulDrop). Так, Linux.MulDrop.14 представляет собой скрипт для компьютеров Raspberry Pi. После запуска троян распаковывает и запускает майнер и пытается заразить другие устройства, обнаруженные в сетевом окружении.
■ Трояны для удаленного администрирования (например, Linux.BackDoor). Бэкдоры используются для проведения DDoS-атак и дистанционного контроля над зараженными устройствами.
■ Трояны, превращающие устройства в прокси-серверы (например, Linux.ProxyM, Linux.Ellipsis.1, Linux.LuaBot). Эти вредоносные объекты злоумышленники используют для обеспечения собственной анонимности в интернете. Они запускают на заражаемых Linux-устройствах SOCKS-прокси-серверы и пропускают через них сетевой трафик.
■ Трояны для майнинга криптовалют (например, Linux.BtcMine). Такие вредоносы скачивают и запускают несколько дополнительных компонентов, среди которых бэкдор и руткит-модуль, после чего запускают в системе программу-майнер. Троян добавляет себя в автозагрузку, поэтому ему не страшна перезагрузка инфицированного устройства.
■ Прочие вредоносные программы. Например, трояны Linux.BrickBot не предназначены для получения какой-либо выгоды. Они созданы для вывода из строя компьютеров и «умных» устройств и известны с 2017 г. В конце июня 2019 г. получил распространение троян Linux.BrickBot.37, который стирает данные с накопителей устройств, удаляет сетевые настройки и инициирует перезагрузку, после чего устройства уже не могут корректно включиться и работать[1092]. Также вполне работоспособны вымогатели, например, для «умных» телевизоров, хотя в последних ограничена запись данных и есть встроенные антивирусные модули
