IoT: полезный и опасный

Готовы ли компании и государства противостоять кибератакам через интернет вещей

В августе этого года российские финансовые организации подверглись самой мощной DDoS-атаке из США, Латинской Америки и Азии. Нападения проводились через несколько тысяч взломанных веб-камер. Эксперты утверждают, что атаки за счет интернета вещей (IoT) будут учащаться, поскольку число интеллектуальных устройств в организациях и домах растет. Гаджеты компаний станут основным оружием в руках киберпреступников.


ХОЛОДИЛЬНИК-ШАНТАЖИСТ

В начале сентября в ходе марафона «Новое знание» гендиректор «Лаборатории Касперского» Евгений Касперский напомнил об угрозе умных вещей в руках киберпреступников: «До пылесосов дело еще не дошло, но камеры уже массово “хакают”».

Евгений Касперский, «Лаборатория Касперского»:

В мире будущего все вещи будут умными. Не получится купить себе обычную кофеварку, останутся только с «мозгами». Все устройства будут умными, поэтому хакеры начнут их активно взламывать. Например, ночью ваш холодильник откроется, а утром закроется. Вы приходите на кухню – пахнет. А вам СМС-сообщение: «Хотите избавиться от запаха – заплатите 5 тыс. рублей». И пылесос будет не вдувать, а выдувать.

В докладе ФинЦЕРТ Банка России от 2021 года отмечается, что самая мощная DDoS-атака в 2019-2020 годах велась с интенсивностью 49 Гбит/с, что на 2 Гбит/с выше рекорда 2018 года. Самые продолжительные в 2019 году длились 11 часов 21 минуту, а в 2020 году – 4 часа 18 минут. Таким образом, она может претендовать на звание наиболее мощной за последние годы. В начале сентября состоялась еще одна мощная атака.

Высокопоставленный источник в «Яндексе» сообщил «Ведомостям», что в начале сентября на серверы компании была совершена самая крупная DDoS-атака в истории Рунета. Рекордный масштаб кибератаки был подтвержден американской компанией Cloudflare, которая специализируется на их отражении и сотрудничает с «Яндексом».

Количество DDoS и других атак в 2020 и 2021 годах выросло на волне массовой самоизоляции. Например, по данным IBM, нападения через IoT с октября 2019-го по июнь 2020-го увеличились на 400% в сравнении с общим количеством атак за предыдущие два года. По итогам второго квартала 2021 года можно сделать вывод, что основная масса зловредных ботов использовала IoT-устройства, расположенные в Китае (31,8%), на втором месте – США (12,5%), а на третьем – Германия (5,9%). В России доля атакующих ботов составила 5,8 процента.

Пик DDoS-атак на банковскую систему пришелся на период с 13 по 16 августа, их мощность превышала 50 гигабит в секунду. Эту информацию «Коммерсанту» подтвердили источники из крупнейших финансовых организаций России. По данным «Ъ», удару подверглись 12 крупных российских банков, процессинговые компании и интернет-провайдеры.

«В феврале 2020-го была раскрыта уязвимость Kr00k Wi-Fi-чипов Broadcom и Cypress. Риску атаки подвержены более миллиона IoT-устройств крупных вендоров», – рассказал RSpectr руководитель проектов департамента ИТ-аутсорсинга ГК «КОРУС Консалтинг» Владимир Бобров. Он напомнил, что в 2019 году один из крупных ботнетов (компьютерная сеть, в которой каждое устройство с доступом в интернет заражено вредоносным ПО. – Прим. RSpectr.) опубликовал учетные данные более 500 тыс. серверов и домашних маршрутизаторов, а также IoT-устройств.

Технический директор InfoWatch ARMA Игорь Душа сообщил RSpectr, что

нападению через умные вещи чаще подвергаются организации

«Крупных DDoS-атак при помощи IoT-устройств за последние пять лет было очень много. Например, на компании Dyn, Blizzard, и даже на журналиста Брайана Кребса. Гораздо важнее, что количество устройств в ботнетах постоянно растет, как и возможностей их использования», – говорит И.Душа.

Аналитик Positive Technologies Яна Юракова в разговоре с RSpectr отмечает, что атак через домашние IoT-устройства в последнее время стало меньше. Во втором квартале 2021 года пострадали владельцы гаджетов для хранения данных My Book Live. На организации, к примеру, нацелены распространители ботнетов Gafgyt, Simps, Mirai.

Яна Юракова, Positive Technologies:

– После заражения злоумышленники использовали вычислительные мощности ботнетов для проведения DDoS-атак. Примечательно, что во всех случаях киберпреступники доставляли вредоносное ПО, эксплуатируя уязвимости в маршрутизаторах, системах контроля доступа, хранения данных и других IoT-устройствах.

Количество умных вещей, подключенных к интернету, колеблется от 7 млрд до 24 млрд и с каждым годом их число растет, говорит руководитель ИБ-проектов компании BPS Кристина Анохина. Их защита более уязвима к взлому, чем у ПК или серверов, сообщила она RSpectr.

Специфика атак через IoT такова, что любой человек или компания становятся невольным соучастником преступления за счет использования умных вещей. Совершенно незаметно любой ваш гаджет, подключенный к интернету, пополнит ряды ботнета для масштабного нападения.

Ярким примером является массированная атака через сеть IoT-устройств на американскую компанию Dyn. Она привела к сбоям в работе большого числа сетевых сервисов глобального значения. Стали недоступны Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud, сайт газеты The New York Times и многие другие. Ботнет Mirai, при помощи которого осуществлялась эта атака, заражал микропрошивки тех IoT-устройств, у которых владельцы не сменили первоначальные логин и пароль.

В пресс-службе Group-IB RSpectr рассказали, что крупные атаки были задолго до пандемии. Например, аналитики Europol еще в декабре 2017 года фиксировали появление нового ботнета Satori, состоящего из 300 тыс. ботов. Satori же был создан на базе известного своего «собрата» Mirai, включающего около 600 тыс. зараженных устройств. В Group-IB вспоминают, что тренд на возврат популярности бот-сетей для DDoS-атак наметился еще в 2015 году.

Group-IB, пресс-служба:

– Это было новое идеальное оружие. Ведь умные вещи легко взломать, они всегда доступны в Сети. А главное, производители не выпускают обновления прошивки, а пользователи не слишком озабочены их безопасностью.

Руководитель практики информационной безопасности Accenture в России Андрей Тимошенко рассказал RSpectr, что

чаще всего от IoT-атак страдают те, кто активно применяет клиентские интернет-сервисы

«Это в первую очередь банки, государственные учреждения и ритейл-компании. В кредитной сфере DDoS атаки могут применяться для отвлечения внимания от мошеннических действий инсайдеров», – сообщил эксперт.

К.Анохина пояснила причины легкого доступа:

  • В IoT-устройствах часто используется слабый, угадываемый пароль.
  • В них применяются небезопасные сетевые службы (Telnet, SSH) и сервисы (веб-консоль управления, API).
  • В ИБ-периметре IoT-устройств присутствуют устаревшие ненадежные компоненты, так как защищающие обновления не выполняются автоматически или вообще не выпускаются производителем.
  • Потенциал IoT-устройств в части DDoS-атак сопоставим с обычными ПК.


КАК РАБОТАЕТ АТАКА ЧЕРЕЗ IOT

Эксперты уверены, что целью подобных нападений чаще всего являются организации электронной коммерции и ритейла, путем захода выбираются кассовые терминалы. Промышленность подвергается таким атакам в меньшей степени, поскольку в основном IoT-устройства там изолированы.

В отличие от большинства кибератак,

DDoS-нападение ведется не с целью «положить» критически важные процессы и остановить бизнес, а замаскировать реальную атаку

Нападающие находят способ проникнуть за периметр, но не используют его напрямую, поскольку это заметят системы Security information and event management (SIEM), антифроды и другие стражи, поясняет А.Тимошенко. Параллельно с проникновением запускается DDoS – чтобы он отвлекал внимание на себя.

Андрей Тимошенко, Accenture в России:

– Чтобы не пропустить такие угрозы, нужно использовать системы класса SIEM, прописывать правила корреляции, отрабатывать все возможные риски и ставить защиты от DDoS, которые могут справляться с большинством атак, в том числе low priority.

IoT-устройства используются и в мошеннических схемах. Например, для перенаправления на фишинговые сайты, демонстрации рекламы с предложением скачать вредоносное ПО, замаскированное под легальное, поясняют в Group-IB.

Говоря о видах угрозы, эксперты выделяют несколько направлений. 

Первое по важности для страны – проникновения через IoT внутри организации, где уже готовится плацдарм для внутренней DDоS-атаки в час «Ч». Об этом рассказал RSpectr руководитель направления защиты АСУ ТП центра промышленной безопасности компании «Информзащита» Игорь Рыжов. Эксперт отмечает: «Эти векторы актуальны и рассматриваются в сегодняшних моделях угроз для объектов критической информационной инфраструктуры (КИИ). Настроенная система обнаружения вторжений сигнализирует о такой активности».

Второй вид угроз – коммерческий. Его задача – «положить» сервис, который приносит заказчику хорошие деньги. Это банки, игровой бизнес, интернет-магазины. Как правило, здесь используется очень большое число подключенных IoT-устройств. И.Рыжов отмечает, что расследования таких уголовных дел иногда длятся годами, но заканчиваются публикацией результатов.

Игорь Рыжов, «Информзащита»:

– Справиться с серьезной атакой могут только провайдеры со спецоборудованием, так как бывают терабитные трафики на несколько часов или дней. Будущее DDоS-атак неразрывно с IoT, потому что это на порядки упрощает задачу создание сети атакующих ботов.

Третье направление, которое выделяет эксперт, – атака на физических лиц. Все еще есть спрос на взлом домашних устройств и серверов. Как правило, в этой сфере работают «мамкины хакеры», которые неспособны создать серьезный ущерб.

И.Рыжов отметил важную роль государства в профилактике кибератак:

европейские страны уже ввели ответственность за слабые пароли общедоступных Wi-Fi-сетей, в том числе и частных

Для построения бот-сети и заражения устройств взломщики используют метод перебора паролей или уязвимости.

Group-IB, пресс-служба:

– В этом году исследователь безопасности Пьер Ким обнаружил десять критических уязвимостей «нулевого дня» в Retefe – маршрутизаторах D-Link DIR 850L. Они оказались настолько серьезны, что эксперт предлагает прекратить их использование, поскольку владельцы ботнетов могут сильно нарастить свои мощности для проведения DDoS-атак.


ЧТО ГРОЗИТ ГОСУДАРСТВУ

Эксперты считают, что чиновникам не стоит увлекаться закупкой умных устройств в министерства и другие госведомства. «Кофемашины, холодильники, телевизоры надо покупать без Wi-Fi – дешевле и безопаснее. А вот смарт-камеры и другие элементы комплексной безопасности нужно отделять физически от информационных сетей. В министерствах и ведомствах есть люди, которые профессионально занимаются защитой контуров безопасности», – пояснил И.Рыжов.

Но остановить умную цифровизацию городской инфраструктуры практически невозможно. Устройства IoT широко внедряются в рамках развития концепции умных городов, в приборах для ЖКХ.

Часть государственных организаций РФ уже использует веб-камеры: ГИБДД для наблюдения за дорогами; правительства столицы и Подмосковья – в парках и на придомовых территориях; транспортные службы применяют валидаторы и другие устройства.

Игорь Душа, InfoWatch ARMA:

– Основная проблема уязвимости IoT – это отсутствие фокуса внимания на их безопасности. Покупатели для своих КИИ уже сейчас могут требовать исполнения п. 29 приказа ФСТЭК России от 25 декабря 2017 года. Разработчикам следует запрашивать анализ собственных устройств на безопасность и встраивание механизмов защиты информации.


КАК ОСТАНОВИТЬ НАШЕСТВИЕ

Для компаний лучший способ защиты – ограничить сетевой доступ к IoT-устройствам. А физическим лицам – изучать инструкцию умных вещей, изменять заданные по умолчанию пароли, следить за обновлениями ПО.

Общие рекомендации для защиты от атак через интернет вещей:

  • провести аудит используемых в инфраструктуре IoT-устройств;

  • проверить, не остались ли в них заводские настройки (особенно это актуально для некрупных компаний, использующих «домашние» маршрутизаторы);

  • заменить пароли на надежные.

«Сегодня механизмы безопасности в IoT и в киберфизических системах находятся на начальной стадии развития, – рассказал RSpectr эксперт направления IoT компании “Актив” Алексей Лазарев. – Очень многое берется из альтернативных систем, где условия применения несколько отличаются от целевых».

Пройдет еще некоторое время, прежде чем начнут массово появляться по-настоящему защищенные системы и устройства

Эксперт отмечает, что гражданам и организациям необходимо соблюдать осторожность при выборе компонентов для используемых решений.

Алексей Лазарев, «Актив»:

– Прежде всего, избегать приобретения и внедрения несертифицированных устройств. При добавлении нового в Сеть необходимо проверять сертификаты аутентификации, если таковые есть.

Также желательно сменить стандартные значения IP-портов, по которым происходит взаимодействие. Это снизит вероятность «прощупывания» устройств различными ботами, рекомендует эксперт.

*SIEM, Security information and event management – управление информацией о безопасности и управление событиями безопасности.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Боты наступают
Как защититься от ИИ-обманщиков в соцсетях