Об опасности доступных из Интернета встроенных устройств нам не дают забыть мощные DDoS-атаки. Один из таких киберинцидентов произошел две недели назад, когда на сайт известного блогера и ИБ-исследователя Брайана Кребса обрушился мусорный поток, на пике достигший 620 Гбит/с.

В конце прошлой недели проблема, связанная с наличием огромной армии открытых устройств, усугубилась: исходный код зловреда Mirai, генерировавшего этот мощный трафик, был опубликован на сайте Hackforums.

По свидетельству Кребса, Mirai постоянно сканирует Интернет в поисках так называемых IoT-устройств: роутеров, IP-камер, цифровых видеорегистраторов и т.п. Обычно такие устройства используют дефолтный, слабый или вшитый в код пароль, который легко взломать, чтобы приобщить подключенное к Сети устройство к ботнету.

В своем сообщении на Hackforums участник, использующий псевдоним Anna-senpai, заявил, что причиной публикации кода Mirai является повышенное внимание к IoT-ботнетам, вызванное рекордной атакой на блог Кребса. Anna-senpai также отметил, что Mirai позволил ему собрать армию из 380 тыс. ботов, используя слабую защиту Telnet. «Тем не менее после DDoS-атаки на Креба [так в оригинале] интернет-провайдеры начали постепенно их отключать и чистить, — пишет владелец DDoS-ботнета. — В настоящее время я могу располагать максимум 300 тыс., и число это сокращается».

Об аналогичном DDoS-зловреде предупреждали в августе исследователи из Level 3. На тот момент BASHLITE, по их оценке, скомпрометировал 1 млн видеокамер и DVR, объединенных в хорошо организованные бот-сети.

По оценке экспертов, IoT-ботнеты могут скоро стать нормой виртуальной жизни. Смарт-устройства трудно контролировать, их почти невозможно обновлять, и потому они представляют собой легкую добычу для атакующих. Так, во время Олимпийских игр в Рио Arbor Networks довелось отражать DDoS-атаки мощностью до 540 Гбит/с, в том числе проводимые с IoT-ботнета LizardStresser.

«Новость — не само явление, а осознание атакующими наличия в Сети огромной армии устройств с огрехами в конфигурации, такими как дефолтные идентификаторы, которыми легко воспользоваться, — говорит Роланд Доббинс (Roland Dobbins), ведущий инженер Arbor Networks. — На самом деле, если говорить о пропускной способности, они более эффективны, чем компьютеры общего назначения, так как они не отягчены пользовательским интерфейсом и обычно не очень сильно нагружены».

Помимо этого смарт-устройства постоянно включены, а сетевые администраторы, по словам Доббинса, редко реагируют на чрезмерную активность, исходящую с таких устройств. «Они обычно работают бесконтрольно и развернуты в сетях, операторы которых не обращают внимания на входящий и исходящий трафик, — сетует эксперт. —  К тому же таких устройств великое множество. Злоумышленники прекрасно знают, что из них можно составить ботнет для проведения мощных атак».

Mirai особенно опасен тем, что он постоянно сканирует Интернет в поисках дефолтных и вшитых идентификаторов. Лучшая защита от таких зловредов — смена учетных данных, так как простой перезапуск может привести к повторному инфицированию, как справедливо отметил Кребс.

«Атаки такого типа уже пришли на смену [традиционным DDoS], — констатирует Доббинс. — IoT-ботнеты — отнюдь не грядущая угроза. Меня беспокоит не будущее, а прошлое. Если бы у меня была волшебная палочка, я бы сделал так, чтобы всех этих ненадежных устройств не было. А пока мы по-прежнему имеем большую проблему, в Интернете все еще присутствуют десятки миллионов таких устройств».

Категории: DoS-атаки, Вредоносные программы