Исследователи выявили тысячи атак на IoT-ловушки в России

Исследователи Avast установили более 500 IoT-ловушек с открытым портом, и всего за два часа хакеры совершили более 500 тыс. атак на предполагаемые устройства интернета вещей

Судя по данным, три основных страны, из которых шли атаки, — это США, Нидерланды и Япония. Однако такие технологии, как виртуальные частные сети (VPN), сеть TOR или прокси-соединения через уже зараженное устройство, — это методы, часто используемые злоумышленниками для маскировки источника атаки.

Компания в сфере кибербезопасности Avast развернула в России (в Москве и Хабаровске) и других странах мира более 500 серверов-ловушек (Honeypots), выдающих себя за IoT-устройства, такие как стриминговые устройства, веб-камеры или роутеры.

Более 500 ловушек были просканированы потенциальными злоумышленниками 561 003 раза за два часа, а пять устройств, расположенных в России, были сканированы 5 370 раз за два часа. Honeypots-ловушки были расположены в России, Мексике, Франции, Германии, Южной Корее, Австралии, Великобритании, Австралии, Японии, Испании, Ирландии, Сингапуре, США и Индии.

При настройке ловушек исследователи Avast выбрали типичные подключенные устройства с открытыми портами, чтобы злоумышленники поверили, что подключаются к реальным роутерам, смарт-ТВ, веб-камерам или другим "умным" устройствам.

Цель ловушки — вычислить активность киберпреступников и изучить методы злоумышленников, которые полагают, что атакуют реальные устройства с реальными данными.

Ловушки Avast были запрограммированы с открытыми портами, такими как TCP: 23 (протокол telnet), TCP: 22 (протокол ssh), TCP: 80 (протокол http), которые обычно находятся в подключенных к интернету устройствах, таких как роутеры, камеры слежения и "умные" телевизоры.

Чаще всего сканировались три порта: порт 8088, который обычно встречается в стриминговых устройствах и "умных" колонках, и порты Telnet 22 и SSH 23, которые часто присутствуют в роутерах.

Согласно исследованию Avast стриминговые устройства входят в топ-5 самых уязвимых в доме, и две трети роутеров в России имеют слабые учетные данные или уязвимости программного обеспечения.

"Большинство людей не придают большого значения уязвимостям домашних устройств — "умных" колонок, телевизоров или лампочек, так как считают, что не могут стать целью киберпреступников. Мы уже видели сотни тысяч подключенных устройств, используемых как часть ботнета для DDoS-атак на популярные сайты и роутеры или для криптомайнинга, — сказал Михал Салат, директор департамента анализа угроз Avast. — Для многих, вероятно, неважно, используются ли их устройства для атак на других людей, однако они должны знать, что также могут стать целью хакеров. Злоумышленнику требуется всего одно взломанное устройство, чтобы взять под контроль всю домашнюю сеть. Собрав информацию о доме, злоумышленник может подвергнуть опасности как конфиденциальность данных владельцев, так и их физическую безопасность. Входной дверью для хакера может стать уязвимая кофеварка, чтобы затем шпионить за домочадцами с помощью "умной" колонки и камеры безопасности. Кроме того, подключенные устройства могут содержать GPS-данные, так что злоумышленник получит информацию о точном местонахождении устройства".

Рост количества устройств IoT делает их желанной целью для киберпреступников, формируя новый ландшафт угроз. Производители зачастую потворствуют киберпреступникам, выпуская изделия без каких-либо функций обеспечения безопасности. В результате такие устройства пополняют ряды очередного ботнета и работают на благо киберкриминала.

Среди основных направлений монетизации взломанных устройств IoT в исследовании выделяют их использование для организации DDoS-атак и в качестве узлов выхода VPN. В обоих случаях преступники продают свои услуги другим участникам сообщества.