Шрифт:
Интервал:
Закладка:
В 2017 г. специалисты «Лаборатории Касперского» обнаружили уязвимости в средствах автоматизации автозаправочных станций, расположенных по всему миру. По сути, уязвимости (в частности, вшитые в код логин/пароль администратора с максимальными правами) предполагали несанкционированный дистанционный доступ к центральным узлам тысяч АЗС, получив который злоумышленники могли бы отключать заправочные системы, вызывать утечки топлива, менять цены на бензин, красть данные и финансовые средства путем взлома платежного терминала, похищать сведения о номерных знаках машин и личных данных водителей и т. п.[1087]
В другом случае исследователям удалось получить доступ к программному обеспечению автомойки PDQ LaserWash, подключенной к интернету. Подобрав несложный дефолтный пароль, которым был защищен доступ в систему, специалисты смогли открывать и закрывать ворота, пускать воду и отключать инфракрасные датчики. Кроме того, им удалось придавить автомобиль воротами; такие действия могут привести к его повреждению и травмированию находящихся в нем людей[1088].
В IoT-сетях могут использоваться недостаточно защищенные протоколы или слабое шифрование (в ряде случаев его и вовсе нет). Тогда возможны MiTM-атаки: злоумышленник может перехватывать передаваемые данные, изменять, подделывать или удалять их.
Перехват управления IoT-компонентами систем «умного» дома может грозить как мелкими неприятностями, такими как заказ взломанным «умным» холодильником 50 л молока и ложный вызов пожарной бригады из-за срабатывания противопожарного датчика, так и крупными проблемами. Например, хакер может заблокировать двери автомобиля или дома, требуя выкуп; дистанционно отключить сигнализацию перед кражей; спровоцировать пожар, взломав «умный» обогреватель или плиту; проанализировав уровень освещенности или громкости звука в помещении либо перехватив голосовые команды владельца «умного» дома, узнать о его присутствии[1089].
КЕЙС В одном из американских казино был установлен «умный» аквариум с функциями автоматического контроля за кормлением рыбок и слежения за характеристиками воды. Термостат аквариума был подключен к интернету, чтобы обслуживающий персонал знал о перегреве или, наоборот, чрезмерном охлаждении воды. Несмотря на меры предосторожности (на устройстве был настроен отдельный защищенный VPN-канал с целью предотвращения доступа к внутренней сети казино), хакеры все же смогли скомпрометировать термостат и использовать его, чтобы получить доступ к другим узлам в сети казино. Прежде чем взлом был обнаружен и лазейка закрыта, злоумышленники успешно похитили 10 Гб данных и передали их на некий сервер в Финляндии. Атака оказалась успешной, так как для взлома использовалось необычное устройство. Инцидент говорит о том, что нужно тщательно контролировать пользователей и устройства, включая «умные» аквариумы[1090].
Инфицирование IoT-устройств
Компания Dr. Web с 2016 г. анализирует векторы атак на устройства интернета вещей, разворачивая сети ханипотов, имитирующих различные «умные» устройства и действующих как приманки. Если за 4 месяца 2016 г. было зарегистрировано 729 600 атак, то через год их было 23,7 млн. Еще через год количество атак достигло 99,2 млн, а за первое полугодие 2019 г. было зафиксировано 73,5 млн атак – столько же, сколько за весь 2018 г. Менее чем за три года количество попыток взлома и заражения устройств интернета вещей возросло на 13 497 %. Среди стран с наибольшим количеством зарегистрированных атак в IoT-сфере лидировали США (39,9 %), затем шли Нидерланды (16,74 %), и замыкала тройку Россия (9,53 %).
Аналогичные исследования проводила в 2017 г. и компания «Лаборатория Касперского». Первые атаки на ханипоты, имитирующие различные устройства под управлением операционной системы Linux, были зафиксированы всего через несколько секунд после начала эксперимента, а за сутки было зарегистрировано несколько десятков тысяч обращений с уникальных IP-адресов. При этом чаще всего использовался протокол telnet и гораздо реже – SSH. Атаки осуществлялись с различных устройств: в 63 % случаев это были DVR-сервисы и IP-камеры, в 16 % случаев – различные сетевые устройства и маршрутизаторы практически всех основных вендоров. 1 % составляли Wi-Fi-репитеры и прочее сетевое оборудование, телевизионные приставки, устройства для IP-телефонии, выходные узлы Tor, принтеры, устройства «умного» дома. Около 20 % устройств опознать не удалось. Также велись атаки с IP-адресов, в сети которых были кассовые терминалы магазинов, ресторанов и АЗС; системы цифрового телевещания, системы охраны и контроля за доступом в помещения; устройства экологического мониторинга; программируемые микроконтроллеры, используемые в промышленности, и системы управления электропитанием[1091].
Вредоносные программы, атакующие IoT-устройства, можно разделить на несколько базовых категорий в соответствии с их основными функциями:
■ Трояны для DDoS-атак. Наиболее распространенным зловредом такого рода является Mirai. Он появился в 2016 г., позднее его исходный код был опубликован, из-за чего появилось множество модификаций. После заражения устройства Mirai соединяется с управляющим сервером в ожидании команд для проведения DDoS-атак.
■ Трояны, распространяющие, загружающие и устанавливающие другие вредоносные приложения и вспомогательные компоненты (например, Linux.DownLoader и Linux.MulDrop). Так, Linux.MulDrop.14 представляет собой скрипт для компьютеров Raspberry Pi. После запуска троян распаковывает и запускает майнер и пытается заразить другие устройства, обнаруженные в сетевом окружении.
■ Трояны для удаленного администрирования (например, Linux.BackDoor). Бэкдоры используются для проведения DDoS-атак и дистанционного контроля над зараженными устройствами.
■ Трояны, превращающие устройства в прокси-серверы (например, Linux.ProxyM, Linux.Ellipsis.1, Linux.LuaBot). Эти вредоносные объекты злоумышленники используют для обеспечения собственной анонимности в интернете. Они запускают на заражаемых Linux-устройствах SOCKS-прокси-серверы и пропускают через них сетевой трафик.
■ Трояны для майнинга криптовалют (например, Linux.BtcMine). Такие вредоносы скачивают и запускают несколько дополнительных компонентов, среди которых бэкдор и руткит-модуль, после чего запускают в системе программу-майнер. Троян добавляет себя в автозагрузку, поэтому ему не страшна перезагрузка инфицированного устройства.