Умные устройства — новое подспорье для разработчиков ботнетов. Киберпреступники заражают их и используют для кибератак, скликивания, банковского мошенничества и других целей. Владелец девайса может даже не знать, что его умный чайник заражен вредоносом и участвует в киберпреступлениях. Специалисты в сфере кибербезопасности сообщают, что в качестве мишеней мошенники выбирают в первую очередь IP-камеры, цифровые видеорегистраторы, роутеры, далее идут чайники, пылесосы и т. д.
Что такое IoT-ботнеты
IoT-ботнет — это сеть из «умных» устройств, зараженных вредоносной программой и используемых для выполнения команд со стороны мастера ботнета. К командам может относиться DDoS-атака, скликивание рекламы, рассылка спама и т. д. Их широко рекламируют на закрытых специализированных форумах.
Существенную роль в распространении и деятельности IoT-ботнетов могут играть роутеры, так как они дают больше возможностей для заражения других устройств и совершения атак в огромных масштабах.
На 2016 год более миллиона умных устройств входили в состав IoT-ботнетов.
Классический IoT-ботнет состоит из огромного числа зараженных устройств, управление которыми происходит через C&C-сервер. Это означает, что если такой сервер вдруг выключится, то и бот-сеть, независимо от количества состоящих в ней девайсов, прекратит свою деятельность.
Использование же более современных P2P-сетей для управления ботнетами из зараженных вещей для умного дома и роутеров обходит такую уязвимость. В этом случае компьютеры объединены друг с другом — участие сервера здесь не требуется. На практике это означает, что, если P2P-сеть будет обнаружена, удалять вредонос придется с каждого отдельного девайса.
В процессе распространения программа ищет IP-адреса устройств, находит те, которые плохо защищены, и заражает их вредоносом. Взломанный и зараженный гаджет становится ботом в целой сети и ждет дальнейших команд от мастера.
Виды IoT-ботнетов
В данный момент найдено три основных исходных кода вредоносов, на которых, как правило, пишутся существующие IoT-ботнеты. Распространяются они по принципу открытого исходного кода.
Самым распространенным вредоносным ПО являются: Linux.Darlloz, Linux.Aidra, Linux.Xorddos, Linux.Gafgyt, Linux.Ballpit, Linux.Moose, Linux.Dofloo, Linux.Pinscan, Linux.Kaiten, Linux.Routrem, Linux.Wifatch и Linux.LuaBot.
Kaiten
Kaiten (aka Tsunami) — это, возможно, наименее известный из всех вредоносов. Тем не менее, его открытое распространение началось еще в 2001 году. И по сей день он пользуется популярностью среди киберпреступников. Адреса серверов прописаны в исходном коде Kaiten, который можно собрать под архитектуры SH4, PowerPC, MIPSel, MIPS и ARM.
В качестве инструмента поиска и заражения используется специальный Python-скрипт, который ищет незащищенные порты Telnet и подбирает к ним данные доступа путем перебора стандартных или легких паролей.
Kaiten также характерен тем, что устраняет своих прямых конкурентов. То есть, если устройство уже заражено другим вредоносом, то перед «заселением» он его предварительно удаляет.
Qbot
Несмотря на то, что Qbot новее Kaiten, к новичкам его отнести нельзя. Впервые он был замечен в 2008 году, но до сих пор охотно используется кибермошенниками. Также он известен под названиями Bashlite, Gafgyt, Lizkebab или Torlus. Для подключения к управляющим серверам использует TCP-протокол. Аналогично Kaiten, если устройство уже заражено другим вредоносом, то перед внедрением Qbot его удаляет.
Mirai
Mirai — из всех трех это самый известный и широко распространенный ботнет. Впервые о нем стало известно в 2016 году, когда он «положил» огромное число крупных сайтов и сервисов. Он был специально разработан в качестве коммерческого продукта для DDoS-атак. Так же, как и два предыдущих ботнета, некоторые его эксплоиты умели “зачищать” устройство, зараженное другими вредоносми.
Echobot
Echobot — вариация Mirai. Ботнет был обнаружен в мае 2019 года. Он обучен использовать более 50 уязвимостей, среди которых самое популярное — внедрение команд по протоколу HTTP. Его характерной чертой является то, что в качестве целей он выбирает не только умные устройства, но также и баги в Oracle WebLogic и VMware SD-WAN.
Satori
Ботнет Satori — еще одна разновидность вредоноса на базе Mirai. Эксперты предполагают, что он смог заразить более 280 000 IP-адресов за 12 часов, превратив в зомби тысячи домашних роутеров. Для взлома и заражения он использовал уязвимость нулевого дня. Более всего от него пострадали пользователи из Аргентины (70%), Туниса (15%) и Болгарии (4%).
Зачем нужны IoT-ботнеты
Киберпреступники манипулируют умными устройствами для совершения DDoS-атак, добычи криптовалют, скликивания рекламы, кражи персональных данных, сетевого шпионажа.
DDoS-атаки
Основной целью создания ботнетов на основе IoT остаются DDoS-атаки. Это их ключевое направление. Например, в 2015 году было зафиксировано огромное число таких атак. Более половины из них шли из США и Китая, а также Вьетнама, Германии, России, Украины и Нидерландов. Для совершения атаки достаточно 300 Гбит/с, чтобы «положить» множество сайтов, не защищенных от DDoS.
Список самых крупных DDoS-атак в 2016 году:
- Атака на серверы компании Blizzard. Пострадали обычные пользователи, которые не смогли попасть на игровые сервера.
- Атаке подверглась китайская компания Imperva. Мощность этой DDoS составила 470 Гб/с.
- Атака на сайт журналиста Брайна Кребса, который разоблачил ранее группу хакеров. Ее мощность составила 620 Гб/с.
- Сеть провайдера OVH не осталась в стороне и тоже пострадала от IoT-ботнета. Мощность запредельная — 1 Тб/с.
- Но рекорд по мощности DDoS-атаки был перебит массированной бомбардировкой DNS-провайдера Dyn. Там они была более 1 Тбит/с. Из-за атаки оказались недоступны сервисы Twitter, Reddit, PayPal, Airbnb, Pinterest, Spotify, GitHub, Wix, HBO, CNN, Starbucks и многие другие.
Как показывает практика, лучше заранее позаботиться о защите своих умных устройств, чтобы в дальнейшем не терять миллионы на устранение последствий.
Скликивание
Но локдаун сайтов это еще не всё, на что способны IoT-ботнеты. Эксперты провели анализ и выяснили, то некоторые вредоносы, вместо того чтобы заразить устройство для последующих DDoS-атак, пытаются взломать его и использовать в качестве прокси-сервера.
И самым простым вариантом, где можно использовать прокси, является скликивание рекламы. Рекламные площадки Google Adwords. Яндекс.Директ, Facebook (принадлежит Meta, организации, запрещенной на территории РФ) и другие размещают на сайтах рекламу. Мошенники заражают роутеры или умные бытовые устройства и отправляют им команды на имитацию действий реальных пользователей и скликивают объявления. И делают это весьма успешно. В первую очередь из-за того, что в распоряжении мастеров ботнетов имеется огромное количество IP-адресов.
Кроме того, зараженные IoT-предметы сами в этом помогают, особенно, если они находятся дома у обычного пользователя. А если бот успешно имитирует геопозиционирование пользователя, то мастер может запросто направить атаку на скликивание объявлений, размещенных на своем же сайте (если ботовод выступает в качестве партнера в рекламном сервисе).
Добыча криптовалюты
Помимо кликфрода и DDoS-атак, которые достаточно популярны среди кибермошенников, добыча криптовалюты с недавних пор также стала одним из направлений использования IoT-ботнетов. Однако пока можно не напрягаться, поскольку устройства, зараженные таким вредоносом, должны будут обладать специальным ПО и мощными процессорами, чтобы можно было добывать как можно больше криптовалюты.
Но даже несмотря на это, если мастер зарабатывает таким образом 1 цент в час, а в сети находится много зараженных устройств (допустим, 100 или 200 тыс.), то в таком случае можно неплохо заработать.
YouTube
Недавнее исследование команды специалистов в области кибербезопасности American ISP CenturyLink показало, что ботнеты на базе IoT направляют трафик на видео в YouTube для просмотра или скликивания рекламы. Обнаружили они это в ходе исследования ботнета TheMoon.
Расследование показало, что умные устройства были заражены вредоносом TheMoon, а затем эксперты обнаружили совершенно новый и неизвестный ранее эксплоит, разработанный для заражения роутеров и превращения их в прокси и направления ботов для накрутки трафика.
Несут ли разработчики умных устройств ответственность
Компании — производители IoT-гаджетов — должны нести ответственность при условии, если они не обновляют свою продукцию. Или в случаях, когда не реагируют на факты взлома устройств. Невозможно написать идеально защищенное ПО — преступники в любом случае найдут уязвимости и способы взломать его. Однако производитель в этом случае должен быстро реагировать на подобные действия.
Как защитить умные устройства от заражения ботнетом
Что же следует сделать компаниям или же рядовым владельцам умных устройств, чтобы защитить себя от кибермошенничества? Следуйте этим советам:
- Отслеживайте уязвимости и пытайтесь устранять их как можно быстрее. Обновляйте ПО, когда приходят соответствующие обновления. Это снизит риск заражения различными эксплоитами вредоноса.
- Применяйте безопасную конфигурацию. Пользователи должны быть уверены, что пользуются самой безопасной конфигурацией на своих устройствах, чтобы сузить возможные пути их заражения.
- Используйте сложные и трудно подбираемые пароли. Киберпреступники могут использовать вредоносы с агрессивным перебором самых распространенных паролей.
- Меняйте пароли как можно чаще.
- Подключите их к отдельной сети.
Также можно использовать и другие меры безопасности для защиты от вредоносов:
- Отключайте функции, которые не будут использоваться.
- Отслеживайте журнал работы. Например, что делал регулятор тепла, пока вас не было дома.
- Используйте специально разработанные для умного дома антивирусные программы, которые защитят ваши устройства от атак ботнетов.
- Если вы используете управление через голосовые команды, то пробуйте иногда менять фразы для их активации.
- Отключите протокол UPnP (Universal Plug & Play). UPnP находит схожие устройства и подключается к ним. Однако такой протокол вредоносы также могут взламывать ввиду наличия у них уязвимостей. То есть если предмет умного дома соединен с другим предметами, то оно также будет заражено.
Мир интернета вещей стремительно развивается. В домах появляются не только Smart-TV, но и умные чайники, выключатели, регуляторы тепла, а также лампочки. Ботоводам открываются новые возможности и инструменты для поиска их уязвимостей и заражения вредоносами. Поэтому, чтобы не стать жертвой киберпреступников, старайтесь следовать вышеуказанным советам.
Botfaqtor — сервис, который защищает ваши рекламные объявления от скликивания ботами, в том числе направляемыми с умных устройств. Ловите и блокируйте ботов — не позволяйте им расходовать ваш бюджет, а их мастерам наполнять свои карманы.
