Zgodnie z najnowszym raportem The Hunt for IoT (październik 2019) liczba wykrytych thingbotów wzrasta. Eksperci F5 Labs pokazują w raporcie dwadzieścia sześć aktywnych i nowych, z których 88 proc. należy do grupy post-Mirai[1]. Europa pozostaje terytorium najbardziej narażonym na potencjalne ataki wzorowane na tym botnecie. Rozprzestrzenianie się thingbotów nie słabnie, a stoją za tym wszyscy użytkownicy: zaczynając od dzieci, a kończąc na organizacjach na poziomie państw narodowych[2].
Skala zagrożenia rośnie, tym bardziej że – jak wskazuje raport – ataki thingbotów są tanie i mają ogromne możliwości. Wystarczy, że na urządzeniu IoT zostanie raz zainstalowany malware, żeby bot kontaktował się z serwerem i zaczął pobierać jego polecenia (najczęściej dotyczące przeprowadzenia ataków DDoS). Ponadto, thingboty angażują serwery proxy do zbierania informacji z ruchu pomiędzy urządzeniami, szyfrowanego ruchu, kopania kryptowalut oraz przeprowadzania ataków na aplikacje internetowe. Podobne usługi sprzedawane są już nawet na Instagramie. Młodociani hakerzy budują i sprzedają botnety w abonamencie już od 5 dolarów miesięcznie.
Dane od partnera F5 Labs – Baffin Bay Networks wskazują, że Europa w zainfekowanych urządzeniach IoT ma więcej skanerów Mirai (które próbują rozprzestrzeniać infekcję) niż jakikolwiek inny region na świecie[3]. Obok oryginalnego zagrożenia z botnetu Mirai funkcjonują też jego odgałęzienia – klony.
Podczas testów przeprowadzonych przez naszych kolegów z F5 Labs na urządzeniach IoT stosowanych we wdrożeniach infrastruktury krytycznej (np. zapewnianiających usługi internetowe dla flot ratunkowych) – aż 62 proc. z badanych struktur zostało uznanych za podatne na zagrożenia. Warto zwrócić uwagę, że powinny to być najbezpieczniejsze urządzenia i systemy. Tymczasem liczba wszystkich urządzeń IoT, łącznie z tymi „mniej bezpiecznymi” ma osiągnąć szacunkowo 20 miliardów sztuk do końca przyszłego roku – mówi Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland. Skala podatności, a tym samym wykorzystania do ataków jest więc bezprecedensowa – dodaje.
Hunt for IoT donosi ponadto, że routery domowe i firmowe (SOHO), kamery IP, cyfrowe urządzenia nagrywające (DVR), rejestratory monitoringu wizyjnego (NVR) i telewizje przemysłowe czy dozorowe (CCTV) pozostają głównymi zainfekowanymi przez thingboty urządzeniami IoT.
Thingboty celują w urządzenia Internetu Rzeczy używając http oraz publicznie dostępnych, uniwersalnych protokołów (UPnP, HNAP, SSH) – na marginesie, te usługi nie powinny być w ogóle publicznie dostępne. 30% nowo odkrytych thingbotów próbuje się dostać do IoT poprzez typowe podatności i ekspozycje, które są uwzględnione na CVE – dostępnej publicznie liście możliwych wejść.
Czekanie aż producenci IoT zaczną dostarczać bezpieczne produkty czy pokładanie zaufania we wdrażanie kontrolerów bezpieczeństwa jest stratą czasu. Biznes już teraz musi sam się bronić. Warto zacząć od zabezpieczenia się przed najczęstszym typem ataków ze strony thingbotów, czyli DDOS. Dla obrony przed tego typu atakami, najlepszym rozwiązaniem jest skorzystanie z usług dostawcy zabezpieczeń typu cloud scrabbing. Wynika to głównie z tego, że wielkość tego typu ataków przekracza możliwości większości sieci (poza dostawcami usług i bankami). Są to ataki powszechne, bo ich przeprowadzenie jest tanie, kosztują ok. 20 dolarów – komentuje Ireneusz Wiśniewski. I dodaje:
W drugiej kolejności mamy ataki na aplikacje internetowe – te wymagają ochrony zaporami sieciowymi z wykrywaniem botów (mechanizmy behawioralne) i blokowaniem ruchu pochodzącego od nich. Produkty IoT z niewiadomymi podatnościami lub zabezpieczeniami poniżej normy trzeba poddawać testom i kwarantannie lub usuwać ze struktury biznesowej – podsumowuje Ireneusz Wiśniewski.
[1] Mirai to najpotężniejszy botnet (sieć urządzeń IoT podległa poleceniom hakerów), spośród tych, które dotąd przeprowadziły ataki – jest ciągle widoczny, częściowo dzięki swojemu rozproszonemu modelowi skanowania, który umożliwia samo-powielanie.
[2] https://www.f5.com/labs/articles/threat-intelligence/the-hunt-for-iot–so-easy-to-compromise–children-are-doing-it
[3] Baffin Bay Networks zbadał wzorce zachowań Mirai, a następnie wyciągnął/określił współrzędne geograficzne szerokości i długości geograficznej urządzeń Internetu Rzeczy zachowujących się jak infekcja Mirai. Ponieważ są to urządzenia stacjonarne (routery, kamery, nagrywarki, telewizje przemysłowe) ich współrzędne określone w ten sposób są dokładniejsze od fizycznego adresu IP.
