한때 Minecraft 플레이어를 괴롭히고 사물 인터넷 봇넷인 Dogecoin을 불법적으로 채굴하는 데 사용되었습니다. 맬웨어에 감염된 스마트 홈 카메라, DVR, 라우터 등의 컬렉션은 이후 강력한 무기로 변모했습니다. 사이버 범죄자. 해커들은 언론인들을 침묵시키고 수억 달러의 피해를 입히고 국가 전체의 인터넷 인프라를 폐쇄하기 위해 엄청난 양의 데이터를 사용했습니다.
이 성장하는 봇넷은 시간이 지날수록 규모가 커지고 위험해지면서 지난 몇 년 동안 해커에서 해커로 제어권이 넘어갔습니다. 위협이 어떻게 진화했는지 살펴보겠습니다.
거의 모든 사물 인터넷 공격의 공통점은 모두 소비자 장치의 느슨한 기본 보안 설정을 활용한다는 것입니다.
중 하나 초기 IoT 무서운 이야기 해커가 보안되지 않은 Foscam 베이비 모니터에 원격으로 액세스하여 양방향 마이크를 사용하여 유아에게 외설적인 소리를 지르던 2013년 8월로 거슬러 올라갑니다. 많은 카메라가 보호되지 않은 채로 남아 있으며 온라인에서 쉽게 검색할 수 있습니다..
이러한 장치를 보호할 생각을 하는 사람이 거의 없었고 보안은 나중에 고려하는 경우가 많았기 때문입니다. 제조업체의 경우 감염된 모니터와 홈 보안 카메라가 IoT 봇넷의 백본을 구성합니다.
카메라와 셋톱박스(DVR)를 합쳐 대규모 IoT 공격에 사용되는 장치의 95%를 차지합니다. 보안되지 않은 홈 라우터는 4%를 차지합니다.
해커들은 금전적 이득을 위해 IoT 취약점을 빠르게 악용하기 시작했습니다. 리눅스. 2013년 11월 처음 발견된 Darlloz 웜은 감염된 라우터와 셋톱박스를 이용해 가상 화폐를 채굴했습니다.
ㅏ 2014년 3월 ZDNET 기사 사기꾼들이 이 계획을 통해 총 가치가 200달러 미만인 42,438개의 Dogecoin과 282개의 Mincoin을 생성했다고 보고했습니다.
IoT 악성코드 판도는 2014년 9월 LizardStresser(BASHLITE) 악성코드가 출시되면서 다시 바뀌었습니다. Shellshock 버그를 통해 IoT 장치를 탈취하기 위해 "password" 및 "123456"과 같은 일반적인 비밀번호를 사용합니다.
LizardStresser는 IoT 좀비 봇넷의 크기를 늘렸습니다. 2016년 기준으로 100만 개 이상의 장치(가정용 라우터 포함)가 BASHLITE 악성 코드 형태에 감염되었습니다.
LizardStresser 봇넷은 400Gbps의 속도로 DDoS(분산 서비스 거부) 공격을 실행할 수 있습니다.
이는 대형 은행부터 통신 제공업체, 정부 기관에 이르기까지 다양한 대상을 대상으로 사용되었습니다. ZDNET이 보고했습니다.. LizardStresser는 Xbox Live 및 PlayStation Network에 대한 DDoS 공격에도 사용되었습니다.
IoT 봇넷이 성장함에 따라 범죄자들은 이를 통해 더 수익성 있는 용도를 고안했습니다. 바로 최고 입찰자에게 DDoS 공격을 판매하는 것입니다. 2014년 말, Lizard Squad라는 해킹 집단이 IoT 봇넷을 장악하고 불법 제어 도구에 대한 액세스 권한을 판매했습니다.
개인 Minecraft 서버는 인기 있는 표적이었습니다. 소유자는 고객을 더 안전한 서버로 유인하기 위해 경쟁사에 비용이 많이 드는 DDoS 공격을 시작하기 위해 비용을 지불할 것입니다.
해커들 사이에서 IoT 봇넷의 제어가 오가는 가운데, 화이트 해커 그룹은 "좋은 악성 코드"로 보호되지 않은 장치를 보호하려고 시도했습니다. 2014년 11월 출시, Linux. Wifatch는 IoT 장치를 감염시키고 악성 코드를 검사 및 삭제한 다음 Telnet 액세스를 차단하여 향후 공격자를 차단합니다.
흥미롭게도 해커들은 코드 안에 다음과 같은 특별한 메시지를 숨겼습니다. "내 이메일을 읽는 모든 NSA 및 FBI 요원에게: 제발 국내든 외국이든 모든 적에 맞서 미국 헌법을 수호하려면 스노든의 원칙을 따라야 하는지 생각해 보십시오. 예."
2016년 8월, 자신을 Anna Senpai라고 부르는 해커가 Mirai 악성 코드를 통해 IoT 봇넷을 거의 독점적으로 통제했습니다. 애니메이션 시리즈의 이름을 딴 Mirai는 이전 IoT 감염을 삭제하고 악성 코드를 자체 코드로 대체합니다.
다른 IoT 악성 코드와 마찬가지로 Mirai는 공격에 60개의 일반적인 공장 기본 사용자 이름과 비밀번호를 활용합니다. 최고조에 달했을 때 Mirai는 시간당 4,000개의 IoT 장치를 감염시켰습니다.
그만큼 가장 잘 알려진 미라이 공격 2016년 10월 21일 미국에서 일어난 일입니다. 그날, 100,000개의 감염된 장치에서 발생한 기록적인 1.2Tbps DDoS 공격으로 글로벌 DNS(도메인 이름 시스템) 서비스 제공업체인 Dyn의 서버가 다운되었습니다.
이 공격으로 Netflix, Twitter, Amazon, CNN 등을 포함한 다수의 주요 웹사이트가 다운되었습니다.
같은 시기에 Mirai 봇넷은 보안 전문가이자 블로거인 Brian Krebs를 표적으로 삼았습니다. KrebsOnSecurity.com 623Gbps의 대규모 DDoS 공격을 받았습니다. 이는 두 명의 이스라엘 청소년을 체포하게 만든 크렙스 이야기에 대한 보복으로 시작된 것으로 알려졌습니다.
그 결과 Akamai는 공격을 방어하는 데 드는 비용이 수백만 달러로 증가함에 따라 Krebs 웹사이트에 대한 무료 지원을 중단했습니다. 그의 사이트는 이제 다음으로 보호됩니다. 구글의 프로젝트 쉴드.
긴 블로그 게시물에서 Krebs는 Rutgers 대학교 학생 Paras Jha를 자신의 사이트를 공격한 Mirai 웜의 배후로 추정되는 Anna Senpai로 지목했습니다.
에 따르면 크렙스의 보고서, Jha는 Minecraft DDoS 보호 라켓에 연결되어 있습니다. Jha는 범죄 혐의로 기소되지는 않았지만, FBI의 심문 공격에 관해서.
하지만 그게 전부는 아닙니다. Mirai 봇넷은 또한 라이베리아의 전체 인터넷 인프라를 다운시키는 일을 담당하고 있습니다. 2016년 11월 DDoS 공격.
600Gbps가 넘는 데이터가 국가의 유일한 해저 케이블을 막아 라이베리아의 인터넷 접속이 2주 동안 깜박였다가 꺼졌습니다.
그만큼 미라이(Mirai) 봇넷이 공격당했습니다 도널드 트럼프 웹사이트는 11월 일요일에 두 번이나 접속됐다. 6 그리고 11월 7일 월요일에 다시. 월요일, 봇넷은 힐러리 클린턴의 웹사이트에도 유사한 공격을 시작했습니다. 둘 다 오프라인으로 전환되지 않았습니다.
또 다른 선거 전 공격은 전화 은행 회사를 표적으로 삼았으며 공화당과 민주당 캠페인 모두에 부정적인 영향을 미쳤습니다.
이미 Mirai보다 더 큰 IoT 위협이 확인되었습니다. 2016년 12월 21일 Imperva Incapsula 네트워크 표적이 되었다 650Gbps DDoS 폭발로.
회사는 공격자가 의도한 피해자의 IP 주소를 확인할 수 없어 자신의 목적을 달성하기 위해 단순히 안티 DDoS 네트워크 전체에 대한 공격을 시작한 것으로 믿고 있습니다.
이러한 IoT 공격으로부터 자신과 다른 사람을 어떻게 보호할 수 있습니까?
첫 번째 단계는 귀하의 장치가 봇넷에 갇히지 않도록 하는 것입니다. 라우터의 기본 설정 변경, 원격 액세스 카메라 및 기타 인터넷 연결 장치. IoT 장치의 펌웨어도 업데이트하세요.
한편, IoT 장치 제조업체는 보안 자체에 더 많은 관심을 기울이고 최종 사용자가 이러한 조치를 취하도록 더 잘 장려해야 합니다.