За первую половину текущего года эксперты «Лаборатории Касперского» собрали более 120 тыс. образцов вредоносных программ, ориентированных на умные устройства. По объему эта коллекция почти в четыре раза превысила суммарный улов за 2017 год и почти в сорок раз — урожай 2016 года.

Анализ данных, собранных на ханипотах, показал, что в результате атаки на IoT-устройства чаще прочих зловредов загружаются представители семейства Mirai. На их долю в отчетный период совокупно пришлось 20,9% атак, зафиксированных исследователями.

Самым популярным вектором атаки по-прежнему является подбор паролей к службе Telnet, работающей на портах 23 и 2323. Во втором квартале попытки взлома Telnet составили ¾ наблюдаемых атак, а за полугодие эксперты насчитали более 12 млн таких событий. В период с января по июнь исследователи также зарегистрировали 86 560 уникальных IP-адресов — источников атак на Telnet и 27 693 IP-адреса, с которых скачивалось вредоносное ПО. Больше половины зараженных устройств, отметившихся на ловушках, расположены в Бразилии (23% IP-адресов), Китае (17%), Японии и России (9 и 7% соответственно).

На брутфорс SSH (порт 22) в первом полугодии пришлось около 12% атак. По данным «Лаборатории Касперского», надежность паролей к Telnet и SSH проверяют в основном многочисленные клоны Mirai, а также Gafgyt.

Альтернативным вектором атак на IoT является эксплуатация уязвимостей. Согласно наблюдениям, популярность этого способа взлома растет — несмотря на то, что реализовать эксплойт сложнее. По всей видимости, злоумышленникам импонируют такие преимущества в сравнении с брутфорсом, как скорый результат и нерасторопность противника. Всем известно, что дыру залатать сложнее, чем сменить пароль или отключить либо заблокировать атакуемый сервис.

Согласно статистике «Лаборатории Касперского», во втором квартале IoT-зловреды чаще всего пытались применить эксплойт на порту 445 (служба Samba). Продвинутые итерации Mirai и боты Hajime интересовало наличие недочетов в реализации протокола TR-069, который зачастую используется для удаленного администрирования (порт 7547). Hajime также пытался атаковать роутеры MikroTik через две бреши — Chimay Red и более свежую CVE-2018-14847 в Winbox.

Некоторые варианты Gafgyt занимались поиском бага удаленного исполнения кода в миниатюрном сервере GoAhead, встроенном во многие IP-камеры и сетевые устройства. Боты Satori в июне активно осваивали новое приобретение — эксплойт к CVE-2018-10088 в демоне uc-httpd 1.0.0 от Xiongmai Technologies. Этот облегченный веб-сервер встречается в некоторых устройствах китайского производства.

Наибольшую активность в первом полугодии проявляли зараженные роутеры MikroTik — на их долю пришлось более 37% атак на ханипоты. Второе место в рейтинге заняли сетевые устройства TP-Link с показателем 9%. Забавно, что помимо роутеров, серверов и видеорегистраторов в список «агрессоров» попали также 33 посудомоечные машины Miele (0,68% атак). Эксперты полагают, что заражение в данном случае могло произойти через уязвимость CVE-2017-7240 во встроенном сервере.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости