Ряды мощных ботнетов для устройств интернета вещей (Internet of Things, IoT), продолжают пополняться. Недавно в сети был замечен новый конкурент ботнетов Mirai и Necurs, получивший название IoT_reaper, с середины сентября выросший до гигантских масштабов. По оценкам исследователей из компаний Qihoo 360 Netlab и Check Point, в настоящее время в состав ботнета входит порядка 2 млн устройств. В основном это IP-камеры, сетевые IP-видеорегистраторы и цифровые видеорегистраторы. С развитием интернета вещей (IoT), начинают множится и вирусы, при помощи которых можно вывести электронику из строя. Причем сама сущность IoT предполагает наличие множества подключенных устройств. Для ботнетов это отличная "среда обитания": заразив одно устройство, вирус копирует себя на все доступные девайсы.

В конце прошлого года мир узнал о гигантском (почти 5 млн устройств) ботнете, состоящем из роутеров. Со взломом роутеров столкнулся и немецкий телеком-гигант Deutsche Telekom, чьи пользовательские устройства оказались заражены вредоносом под названием Mirai. Сетевым оборудованием дело не ограничилось: проблемы с безопасностью были обнаружены в "умных" посудомойках Miele и кухонных плитах AGA. "Вишенкой на торте" стал зловред BrickerBot, который, в отличие от "коллег", не просто заражал уязвимые устройства, а полностью выводил их из строя.

Наличие в домашней сети плохо сконфигурированного или содержащего уязвимости IoT-устройства может повлечь за собой печальные последствия. Один из самых распространенных сценариев — включение устройства в ботнет. Это, пожалуй, самый безобидный вариант для его владельца, другие варианты использования более опасны. Так, устройства из домашней сети могут использоваться в качестве промежуточного звена для совершения противозаконных действий. Кроме того, злоумышленник, получивший доступ к IoT-устройству, может шпионить за его владельцем с целью последующего шантажа – история уже знает подобные инциденты. В конце концов (и это далеко не самый худший сценарий) зараженное устройство может быть попросту сломано.

Специалисты "Лаборатории Касперского" ранее проводили эксперимент, настроив несколько ловушек ("ханипотов"), которые имитировали различные "умные" устройства. Первые попытки несанционированного подключения к ним эксперты зафиксировали уже через несколько секунд. 

За сутки было зарегистрировано несколько десятков тысяч обращений. Среди устройств, атаки с которых наблюдали эксперты, более 63% можно определить как IP-камеры. Около 16% составили различные сетевые устройства и маршрутизаторы. Еще 1% пришелся на Wi-Fi-ретрансляторы, TV-приставки, устройства IP-телефонии, выходные ноды Tor, принтеры, устройства "умного дома". Остальные 20% устройств однозначно опознать не удалось.

Если посмотреть на географическое расположение устройств, с IP-адресов которых эксперты видели атаки на ханипоты, можно наблюдать следующую картину: в топ-3 стран вошли Китай (14% атакующих устройств), Вьетнам (12%) и Россия (7%).

Причина роста числа таких атак проста: интернет вещей сегодня практически не защищен от киберугроз. Подавляющее большинство устройств работает на Linux, что упрощает жизнь преступникам: они могут написать одну вредоносную программу, которая будет эффективна против большого количества устройств. Кроме того, на большинстве IoT-гаджетов нет никаких защитных решений, а производители редко выпускают обновления безопасности и новые прошивки.

Недавно стало известно о появлении нового ботнета IoT_reaper, который с середины сентября распространился примерно на 2 млн устройств, сообщается в исследовании компаний Qihoo 360 Netlab и Check Point. 

По словам исследователей, код вредоносного ПО, используемого для создания ботнета, включает фрагменты кода Mirai, но при этом содержит ряд новых функций, отличающих Reaper от конкурентов. Главное его отличие заключается в методе распространения. Если Mirai ищет открытые Telnet-порты и пытается скомпрометировать устройство, используя перечень распространенных или ненадежных паролей, то Reaper ищет уязвимости, которые в перспективе дают возможность заражать большее количество устройств.

По мнению Qihoo 360 Netlab, вредоносное ПО включает среду для осуществления скриптов на языке Lua, что дает возможность операторам добавлять модули для разных задач, например DDoS-атак, перенаправления трафика и пр. 

Эксперты Check Point считают, что Reaper может на некоторое время парализовать работу интернета. "По нашим оценкам, более миллиона организаций уже пострадали от действий Reaper. Сейчас мы переживаем спокойствие перед сильным штормом. Киберураган скоро настигнет интернет", – отмечается в сообщении Check Point

Среди зараженных устройств – беспроводные IP-камеры компаний GoAhead, D-Link, AVTech, Netgear, MikroTik, Linksys, Synology и другие. Некоторые компании уже выпустили патчи, устраняющие большинство уязвимостей. Но у потребителей нет привычки устанавливать обновления безопасности для устройств.

 

Источник: vestifinance.ru