DDoS, программы-вымогатели, майнеры: «Лаборатория Касперского» проанализировала ландшафт киберугроз для интернета вещей
В новом отчёте «Обзор угроз для IoT-устройств в 2023 году» исследователи «Лаборатории Касперского» рассказали про сотни обнаруженных в даркнете объявлений о продаже услуг по проведению DDoS-атак с использованием умных устройств, конкуренции между атакующими за контроль над заражёнными гаджетами и топ-стран, откуда чаще всего пытаются заражать устройства IoT.
Самая востребованная «IoT-услуга» в даркнете. По данным аналитиков сервиса Kaspersky Digital Footprint Intelligence, одна из наиболее востребованных услуг в даркнете, связанных с интернетом вещей, — DDoS. Упоминания ботнетов на основе умных устройств, которые используются для проведения подобных атак, стали чаще встречаться в объявлениях на различных теневых форумах. Всего за первую половину 2023 г. аналитики сервиса Kaspersky Digital Footprint Intelligence обнаружили в даркнете более 700 таких объявлений.
Цена этой услуги зависит от множества факторов, влияющих на сложность атаки, среди которых: наличие у жертвы защиты от DDoS, наличие капчи и JavaScript-верификации. В общей сложности стоимость атаки варьируется от $20 за сутки до $10 тыс. за месяц. В среднем в изученных объявлениях такая услуга предлагалась за $63,5 за сутки или $1350 за месяц.
Продаются в даркнете и услуги по взлому устройств интернета вещей. В частности, злоумышленники ищут соответствующие эксплойты к уязвимостям нулевого дня.
Спектр угроз для подключённых устройств. В числе прочих типов вредоносного ПО, нацеленного на интернет вещей, — программы-вымогатели, майнеры, инструменты для смены DNS-сервера. Иногда заражённые устройства используются в качестве прокси-серверов — промежуточных узлов в Сети, перенаправляющих трафик злоумышленника через себя, таким образом затрудняя его отслеживание.
Одна из ключевых особенностей вредоносного ПО для интернета вещей — существование множества различных семейств, в основе которых лежит обнаруженный в 2016 г. зловред Mirai. В результате между злоумышленниками возникла жёсткая конкуренция, они борются друг с другом за контроль над устройствами. Поэтому зловреды для интернета вещей постепенно начали включать в себя функции для «нейтрализации» конкурентов непосредственно на заражённом устройстве и предотвращения его повторного заражения. Наиболее популярная тактика закрепления доступа — добавление правил сетевого экрана, блокирующих попытки подключения к устройству. Несколько реже используется отключение сервисов удалённого управления устройством либо завершение чужих процессов и удаление чужих файлов.
Как заражают IoT-устройства. Наиболее распространённый метод заражения умных устройств — перебор паролей к сервисам, использующим протокол Telnet и SSH. Так, за первую половину 2023 г. 97,91% зафиксированных попыток перебора паролей, зафиксированных ханипотами — специальными ловушками для злоумышленников, были направлены на протокол Telnet и 2,09% — на SSH. Больше всего таких атак было отмечено в Китае, Индии и США, а сами атаки шли чаще всего из Китая, Пакистана и России.
К компрометации устройства также могут приводить и уязвимости в работающих на нём сервисах. Часто с их помощью злоумышленники внедряют вредоносные команды при выполнении запросов к веб-интерфейсу.
«Количество умных устройств растёт. Портал Statista прогнозирует, что к 2030 г. оно превысит 29 млрд. Первые массовые атаки на интернет вещей с использованием вредоносного ПО были зафиксированы ещё в 2008 г., и с тех пор подобных атак становится только больше. „Лаборатория Касперского“ призывает производителей поставить в приоритет кибербезопасность как потребительских, так и промышленных устройств интернета вещей. Мы считаем, что для таких устройств важно сделать обязательным изменение пароля по умолчанию, а также регулярно выпускать патчи к обнаруженным уязвимостям. Наше исследование подчёркивает необходимость ответственного подхода к обеспечению безопасности интернета вещей со стороны производителей, чтобы они проактивно защищали пользователей», — сказал Ярослав Шмелёв, эксперт «Лаборатории Касперского» по кибербезопасности.
Чтобы защитить промышленные и пользовательские устройства интернета вещей от киберугроз, компания рекомендует – предприятиям: регулярно проводить оценку безопасности OT-систем, чтобы выявить и устранить возможные проблемы; использовать решения для мониторинга, анализа и обнаружения сетевого трафика в промышленных компьютерах для повышения эффективности защиты от кибератак, потенциально угрожающих технологическому процессу и основным активам предприятия; защищать и промышленные, и корпоративные устройства. Например, промышленная XDR-Платформа Kaspersky Industrial CyberSecurity предоставляет возможности для обнаружения и автоматизированного реагирования на разнообразные угрозы системам технологической сети; пользователям: при использовании устройств интернета вещей следует оценить состояние безопасности устройства до его внедрения. Предпочтение следует отдавать гаджетам, имеющим сертификаты кибербезопасности, и продукции тех производителей, которые уделяют повышенное внимание информационной безопасности; при покупке устройств для умного дома менять пароли, установленные по умолчанию, на более сложные, регулярно менять их. Сгенерировать надёжный пароль может помочь решение Kaspersky Password Manager; не выкладывать в социальные сети серийные номера, IP-адреса и другую конфиденциальную информацию об используемых умных устройствах; регулярно следить за новостями об уязвимостях, обнаруженных в устройствах интернета вещей, и в случае обнаружения — обновить прошивку; перед покупкой умного устройства читать отзывы и обращать внимание, реагирует ли производитель на обнаруженные уязвимости: хороший поставщик быстро устраняет проблемы, о которых сообщают исследователи.