Колись використовувався для переслідування гравців Minecraft і незаконного видобутку Dogecoin, ботнет Інтернету речей – великий, інфікована зловмисним програмним забезпеченням колекція розумних домашніх камер, відеореєстраторів, маршрутизаторів тощо – з тих пір її перетворили на потужну зброю кіберзлочинці. Хакери використовували великі пакети даних, щоб змусити журналістів замовкнути, завдати збитків на сотні мільйонів і закрити інтернет-інфраструктуру цілої країни.
Протягом останніх кількох років контроль над цим зростаючим ботнетом переходив від хакера до хакера, оскільки з часом він ставав все більшим і небезпечнішим. Ось як ця загроза розвивалася.
Майже всі атаки Інтернету речей є спільним: усі вони використовують слабкі налаштування безпеки за замовчуванням у споживчих пристроях.
Один з перші страшні історії IoT датується серпнем 2013 року, коли хакер отримав віддалений доступ до незахищеного радіоняні Foscam і використав двосторонній мікрофон, щоб викрикувати нецензурну мову на адресу дитини. Багато камер залишаються незахищеними і їх легко знайти в Інтернеті.
Тому що так мало людей думали про те, щоб захистити ці пристрої, і тому що про безпеку часто думали пізніше для виробників – заражені монітори та камери домашнього спостереження складають основу ботнету IoT.
У сукупності камери та приставки (DVR) складають 95 відсотків пристроїв, які використовуються у великих атаках IoT. Незахищені домашні маршрутизатори складають ще 4 відсотки.
Хакери швидко почали використовувати вразливості IoT для отримання фінансової вигоди. Linux. Черв'як Darlloz, вперше ідентифікований у листопаді 2013 року, використовував заражені маршрутизатори та приставки для видобутку віртуальних грошей.
А Стаття ZDNET за березень 2014 року повідомляє, що шахраї згенерували 42 438 доджкойнів і 282 мінкойни за допомогою цієї схеми, що становить менше 200 доларів США.
Зловмисне програмне забезпечення IoT знову змінилося у вересні 2014 року з випуском шкідливого програмного забезпечення LizardStresser (BASHLITE). Він використовує загальні паролі, такі як «пароль» і «123456», щоб заволодіти пристроями IoT через помилку Shellshock.
LizardStresser збільшив розмір зомбі-ботнету IoT. Станом на 2016 рік понад 1 мільйон пристроїв (включаючи домашні маршрутизатори) були заражені різновидом зловмисного програмного забезпечення BASHLITE.
Ботнет LizardStresser може запускати розподілені атаки на відмову в обслуговуванні (DDoS) зі швидкістю 400 Гбіт/с.
Він використовувався проти цілей, починаючи від великих банків і провайдерів телекомунікацій до державних установ, Про це повідомляє ZDNET. LizardStresser також використовувався в DDoS-атаках на Xbox Live і PlayStation Network.
Із зростанням ботнету IoT злочинці винайшли для нього більш вигідне використання: продаж DDoS-атак тому, хто запропонує найвищу ціну. Наприкінці 2014 року хакерська група під назвою Lizard Squad взяла під контроль ботнет IoT і продала доступ до незаконного інструменту контролю.
Приватні сервери Minecraft були популярними цілями. Власники заплатили б за проведення дорогих DDoS-атак на своїх конкурентів, сподіваючись переманити своїх клієнтів на нібито більш безпечний сервер.
Контролюючи ботнет IoT між хакерами, група білих капелюхів намагалася захистити незахищені пристрої за допомогою «хорошого шкідливого програмного забезпечення». Випущено в листопаді 2014 року, Linux. Wifatch заражає пристрої IoT, сканує та видаляє зловмисне програмне забезпечення, а потім закриває доступ через Telnet, щоб заблокувати майбутніх зловмисників.
Цікаво, що хакери приховали спеціальне повідомлення у своєму коді: «Будь-якому агенту АНБ і ФБР, який читає мій електронний лист: будь ласка подумайте, чи вимагає захист Конституції США від усіх ворогів, зовнішніх чи внутрішніх, дотримуватись принципів Сноудена приклад».
У серпні 2016 року хакер, який називає себе Анна Сенпай, отримав майже монопольний контроль над ботнетом IoT через своє шкідливе програмне забезпечення Mirai. Mirai, названий на честь аніме-серіалу, видаляє попередні зараження IoT і замінює шкідливий код власним.
Як і інше зловмисне програмне забезпечення для Інтернету речей, Mirai у своїх атаках використовує 60 поширених заводських імен користувачів і паролів. На піку поширення Mirai заражав 4000 пристроїв IoT на годину.
The найвідоміша атака Mirai в США відбулося 21 жовтня 2016 року. Того дня рекордний DDoS-вибух зі швидкістю 1,2 Тбіт/с зі 100 000 заражених пристроїв вивів з ладу сервери Dyn, постачальника послуг глобальної системи доменних імен (DNS).
Атака зруйнувала велику кількість великих веб-сайтів, включаючи Netflix, Twitter, Amazon, CNN тощо.
Приблизно в той же час ботнет Mirai був націлений на експерта з безпеки та блогера Брайана Кребса KrebsOnSecurity.com з масивною DDoS-атакою зі швидкістю 623 Гбіт/с. Його нібито було запущено в помсту за історію Кребса, яка призвела до арешту двох ізраїльських підлітків.
У результаті Akamai відмовився від безкоштовної підтримки веб-сайту Кребса, оскільки витрати на захист від атак зросли до мільйонів доларів. Зараз його сайт охороняється Google Project Shield.
У розлогому дописі в блозі Кребс виділив студентку Ратгерського університету Парас Джа як Анну Сенпай, людину, яка ймовірно стоїть за хробаком Mirai, який атакував його сайт.
Відповідно до Звіт Кребса, Джа має підключення до системи захисту Minecraft DDoS. Зі свого боку, Джа не було звинувачено у злочині, хоча він був допитаний ФБР щодо нападу.
Але це ще не все. Ботнет Mirai також відповідає за зняття всієї інтернет-інфраструктури в Ліберії в a Листопад 2016 DDoS-атака.
Понад 600 Гбіт/с передачі даних заблокували єдиний підводний кабель країни, через що доступ до мережі Ліберії переривався і зникав протягом двох тижнів.
The Атаковано ботнет Mirai веб-сайт Дональда Трампа двічі в неділю, лист. 6 і знову в понеділок, 7 листопада. У понеділок ботнет також здійснив подібну атаку на веб-сайт Гілларі Клінтон. Жоден не був виведений в режим офлайн.
Інша передвиборча атака була спрямована на компанію телефонного банку, що негативно вплинуло як на республіканську, так і на демократичну кампанії.
Вже виявлено ще більшу загрозу IoT, ніж Mirai. 21 грудня 2016 року мережа Imperva Incapsula був націлений з DDoS-вибухом 650 Гбіт/с.
Компанія вважає, що зловмисник, не зміг розпізнати IP-адресу передбачуваної жертви, просто запустив атаку проти мережі проти DDoS в цілому, щоб досягти своєї мети.
Як ви можете захистити себе та інших від цих атак Інтернету речей?
Перший крок — переконатися, що ваші власні пристрої не потрапили в ботнет. Змініть налаштування маршрутизаторів за замовчуванням, камери віддаленого доступу та інші пристрої з підключенням до Інтернету. Обов’язково оновіть мікропрограму на своїх пристроях IoT.
Тим часом виробники пристроїв IoT самі повинні приділяти більше уваги безпеці та краще заохочувати кінцевих користувачів до таких дій.