Oprócz wymuszania danych uwierzytelniających, złośliwe oprogramowanie wycelowane w Internet Rzeczy – IoT wykorzystuje również luki w zabezpieczeniach urządzeń, aby rozprzestrzeniać się dalej w systemie.
W 2022 roku badacze FortiGuard Labs firmy Fortinet wykryli ponad 20 milionów ataków typu brute force, które miały na celu uzyskanie haseł do urządzeń IoT. Wykryli przy tym prawie 122 tys. unikalnych adresów IP, z których przeprowadzane były ataki na urządzenia IoT. Blisko jedna trzecia z nich pochodziła z Chin, 10% ze Stanów Zjednoczonych, a 9% z Korei Południowej. Badacze określili miejsca, w których zidentyfikowano większość z nich, na podstawie lokalizacji serwerów.
Dlaczego cyberprzestępcy atakują IoT?
Internet rzeczy to sieć połączonych urządzeń codziennego użytku, takich jak routery czy kamery IP, które mogą odbierać i wysyłać dane między sobą, korzystając z połączenia internetowego. Katalog produktów, które można zakwalifikować do tej kategorii ciągle się powiększa. Obecnie nawet pralki, lodówki, telewizory i bramy można podłączyć do internetu.
Ataki na urządzenia z kategorii IoT mają na celu uzyskanie dostępu do nich lub przejęcia nad nimi kontroli, z zamiarem wyrządzenia im szkody lub wykorzystania ich w atakach na kolejne cele. Urządzenia IoT są zasadniczo pozbawione ochrony i nie posiadają wbudowanych funkcji zabezpieczających lub nie ma możliwości zainstalowania na nich oprogramowania ochronnego.
Wykorzystują luki w zabezpieczeniach
Oprócz wymuszania poświadczeń w celu zainfekowania urządzeń, złośliwe oprogramowanie wycelowane w IoT wykorzystuje również luki w ich zabezpieczeniach. System monitorowania FortiGuard Labs zidentyfikował także używane przez cyberprzestępców eksploity, czyli programy mające na celu wykorzystywanie istniejących błędów w oprogramowaniu, by dostać się do systemu.
Z przechwyconych w zeszłym roku ponad stu podatności, które były celem prób ataków, 30% ukierunkowane było na CVE-2017-17215, starą lukę z kategorii zdalnego wykonania kodu, obecną m.in. w routerach Huawei. W czasie 30-dniowych pomiarów przeprowadzanych przez telemetrię Fortinet IPS wykryto średnio 80 tys. takich naruszeń dziennie. W szczytowym momencie zidentyfikowano ich aż 160 000.
Analizy FortiGuard Labs pokazują, że złośliwe oprogramowanie wycelowane w urządzenia IoT jest bardzo aktywne i nadal wykorzystuje zarówno stare, jak i nowe luki, aby infekować urządzenia i rozprzestrzeniać się. Jak wykazała analiza FortiGuard Labs, większość wirusów celuje w luki w routerach. Dane z telemetrii Fortinet pokazują również, że nawet podatności z 2014 roku są nadal aktywnie wykorzystywane przez cyberprzestępców.
Oprogramowanie Mirai celem
W 2022 roku większość aktywnych botnetów IoT bazowała na rodzinach oprogramowania Mirai i Gafgyt. Powstały w 2016 roku Mirai był pierwszym botnetem wycelowanym bezpośrednio w urządzenia IoT. Wykorzystuje on niezmieniane przez użytkowników domyślne dane logowania, aby zainfekować system. Przez cały 2022 rok, zespół FortiGuard Labs identyfikował nowe warianty złośliwego oprogramowania, jednak te bazujące na Mirai były dominujące pod względem częstotliwości wykorzystania przez cyberprzestępców.
Fot. Materiały prasowe Fortinet
W ochronie przed podobnymi atakami ważne jest przede wszystkim bieżące monitorowanie zabezpieczeń urządzeń i łatanie wszelkich luk. Zapewnienie odpowiedniego poziomu bezpieczeństwa urządzeń IoT wymaga zintegrowanych rozwiązań, które są w stanie zapewnić widoczność, segmentację i bezproblemową ochronę w całej infrastrukturze sieciowej. Ponadto, w miarę jak innowacje cyfrowe rozszerzają sieci i wzrasta zależność od zdalnego dostępu do systemów, konieczne jest podejście typu Zero Trust do ochrony środowisk rozproszonych, w tym zabezpieczeń IoT.
STEFAN LEWANDOWSKI