Количество новых вредоносных программ, нацеленных на “умные устройства”, уже сейчас превысило прошлогодние показатели больше чем в два раза.

Ханипоты “Лаборатории Касперского”, имитирующие различные подключенные к интернету устройства под управлением Linux, зафиксировали больше 7200 образцов различных вредоносных программ с января по май 2017 года. В то же время за весь 2016 год было обнаружено только 3200 подобных сэмплов.

“Первые попытки подключиться к открытому telnet-порту мы увидели уже через несколько секунд. За сутки же было зарегистрировано несколько десятков тысяч обращений с уникальных IP-адресов”, — рассказывают исследователи на блоге Securelist.ru.

Впечатляющая DDoS-атака ботнета Mirai осенью прошлого года указала киберпреступникам дорогу в будущее. Оказалось, что множество видеорекордеров, IP-камер, роутеров и прочих “умных кофеварок”, объединенных в гигантский ботнет, представляет собой весьма грозную силу, способную вывести из строя крупные сайты.

Число “умных устройств” уже сейчас исчисляется миллиардами, а к 2020 году, по различным прогнозам, может составить от 20 до 50 миллиардов.

Неправильно сконфигурированное или уязвимое домашнее устройство может оказаться частью ботнета — это наиболее распространенный, хотя и относительно безобидный для владельца сценарий. А вот стать невольным участником противозаконных операций киберпреступников или жертвой шпионажа и шантажа — история куда менее приятная.

“Рост количества вредоносных программ для интернета вещей и связанных с ними инцидентов демонстрируют, насколько серьезной является проблема безопасности “умных” устройств. 2016 год показал, что это не просто возможная, а вполне реальная угроза, — отмечают исследователи. Высокая конкуренция на рынке DDoS-атак подталкивает злоумышленников к поиску новых ресурсов”.

В числе основных причин экспоненциального роста числа уязвимых устройств эксперты называют открытые telnet и SSH порты, а также устанавливаемые производителем пароли по умолчанию. Иногда пароли даже могут быть одинаковы для всей продукции одного производителя, а не только для одной модели.

Многие устройства поставляются с откровенно устаревшей прошивкой. Даже если ее обновление и доступно в интернете, очень мало кто внедряет автоматическую установку апдейтов.

Помимо всего прочего, в некоторых устройствах возможность удаленного администрирования через протокол TR-069 реализована небезопасным образом.

“TR-069 предназначен для удаленного управления устройствами со стороны оператора и основан на SOAP, который, в свою очередь, использует формат XML при передаче команд. Именно в парсере команд и была найдена уязвимость”, — указывают эксперты “Лаборатории Касперского”.

Атака на оператора Deutsche Telekom, зафиксированная в ноябре прошлого года и затронувшая 900 тысяч клиентских DSL-роутеров, была реализована как раз через уязвимость в TR-069. Такой же способ заражения использовался в некоторых версиях троянца Mirai, а также в зловреде Hajime, не содержащем деструктивных функций.

Наиболее частым источником атак, зафиксированных ханипотами “Лаборатории Касперского”, оказались видеорекордеры и IP-камеры — на них приходится 63%. Еще около 20% определены как различные сетевые устройства. В списке стран, на территории которых находятся зараженные устройства, лидируют Китай, Вьетнам, Россия, Бразилия и Турция.

Категории: Аналитика, Вредоносные программы, Главное