Бот из IoT

Прямо сейчас специалисты фиксируют появление нового ботнета Satori, включающиего около 300 000 ботов — IoT (Internet of Things) устройства. Satori создан на базе известного ботнета Mirai, чьи исходные коды были опубликованы осенью 2016 года.

Тренд на возврат популярности бот-сетей для DDoS-атак наметился два года назад — новость была в том, что создания бот-сетей используются не компьютеры с Windows, а простые IoT (Internet of Things) устройства. IoT-устройства идеально подходят на роль ботов: их легко взломать, они всегда доступны — устройства постоянно включены в сеть в отличие от рабочих станций. А главное, производители не выпускают обновления прошивки, а пользователи не слишком озабочены их безопасностью.

КАКОЙ МОТИВ: Использование IoT-устройств в DDoS-атаках — самый простой и востребованный способ монетизации. Хакеры могут вымогать деньги за прекращение DDoS-атаки или использовать ее для отвлечения внимания от более серьезного преступления. IoT-устройства могут использоваться и в мошеннических схемах, например, для перенаправления на фишинговые сайты, демонстрации рекламы с предложением скачать вредоносные программы, замаскированные под легальные, и т.п.

КАК РАБОТАЕТ: Устанавливая удаленный контроль над аппаратом, имеющим доступ в сеть (например, роутером), преступники получают возможность посылать от него запросы на серверы, которые обеспечивают работу интересующей системы, например, сайта банка или интернет-магазина. Армия «зомби»-устройств атакует серверы десятками тысячами запросов, в результате чего сайт становится недоступен для легальных пользователей, поскольку занят обработкой «мусорных» запросов. 

КЕЙС Mirai: Ботнеты IoT (Internet of Things) становятся достаточно большими. Например, Mirai включал около 600 000 зараженных устройств и он использовался в конце 2016 года для атаки на оборудование провайдеров Германии, Франции и Великобритании, что привело к перебоям с доступом в интернет (летом за совершение этих кибератак 29-летний Дэниель Кайе (BestBuy) получил 1 год и 8 условно). 

УЯЗВИМОСТИ. Для построения бот-сети и заражения устройств нападавшие используют метод перебора паролей или используют уязвимости. В этом году исследователь безопасности Пьер Ким обнаружил десять критических уязвимостей “нулевого дня” в Retefe маршрутизаторах D-Link DIR 850L. Уязвимости оказались настолько серьезные, что Ким предлагает пользователям прекратить использование этого типа маршрутизаторов, поскольку владельцы IoT бот-сетей могут сильно нарастить свои мощности, которые скорее всего будут использоваться для проведения DDoS-атак. Кстати, обнаруженный на днях ботнет Satori тоже использует уязвимости.

НЕ ТОЛЬКО РОУТЕРЫ. Осенью исследователи Check Point обнаружили новый масштабный ботнет IoT, появившийся в сентябре 2017 года. Вредоносный код пытается использовать многие известные уязвимости в различных моделях IP-камер, включая GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys и Synology. По мнению экспертов, вредоносное ПО уже заразило более миллиона устройств по всему миру — 60% жертв включены в корпоративные сети.