F5: strefa IoT zagrożona atakami Thingbotów

F5 Networks informuje, że wyzwania związane z narażonymi na ataki hakerów urządzeniami Internetu Rzeczy są coraz większe i trudniejsze do monitorowania.

F5 Labs w najnowszym raporcie Threat Intelligence „The Hunt for IOT” ostrzega, że organizacje nie mogą dłużej ignorować nieuchronnego wzrostu Thingbotów – botów zbudowanych z urządzeń IoT, które szybko stają się preferowanym celem cyberprzestępców.

W porównaniu z 2018, w 2017 ataki telnet brute force skierowane przeciwko urządzeniom IoT wzrosły o 249%. Zdecydowana większość z nich miała źródło w Chinach – aż 44% złośliwego ruchu pochodziło z Państwa Środka i adresów IP zlokalizowanych w chińskich sieciach. Kolejno, Stany Zjednoczone i Rosja są krajami z najwyższą aktywnością hakerów. Polska również znalazła się w top 10 krajów, z których pochodzą zagrożenia z 2% udziałem w globalnych atakach w grudniu 2017.

http://branden.biz/index.php/2018/01/17/multicloud-napedza-cyfrowa-transformacje-f5-soad-raport/

Najwięcej ataków było skierowanych przeciwko urządzeniom w Hiszpanii, na Węgrzech, w Singapurze i USA. Jednak nie widać wyraźnych, jednoznacznych trendów dotyczących docelowych krajów ataków. Z dziesięciu najbardziej narażonych krajów, każdy doznał porównywalnej niewielkiej części globalnych ofensyw, za wyjątkiem Hiszpanii, która była celem 22% działań cyberprzestępców w grudniu 2017. Top 10 krajów najczęściej będących na celowniku hakerów doznało w sumie od 24% do 44% globalnych ataków w ciągu roku. Oznacza to, że podatne na przejęcia urządzenia IoT mogą znajdować się w dowolnym zakątku globu.

  • W drugim półroczu 2017, F5 Labs odnotował spadek liczby ataków w porównaniu do pierwszej połowy roku. Jednak porównując dane w dłuższej perspektywie poziom cyberprzestępczości był wyższy niż podczas największej aktywności botneta Mirai, który we wrześniu 2016 roku zainfekował setki tysięcy urządzeń IoT, w tym systemów CCTV, routerów i nagrywarek DVR.
  • Analizując ruch sieciowy od lipca do grudnia 2017 F5 Labs stwierdził, że hakerzy pracują nad budowaniem licznych, bardzo dużych thingbotów. Ponadto, warto pamiętać, że potencjał Mirai nigdy nie został w pełni wykorzystany w przeprowadzonych atakach. Za to kod botneta został udostępniony i w konsekwencji stanowi trzon kilku nowych thingbotów, które wciąż są aktywne.

Internet of Threats

Społeczność ekspertów cyberbezpieczeństwa często mówi o IoT jako o Internecie Zagrożeń (Internet of Threats). Są ku temu powody. Prognozy wskazują na niepohamowany wzrost destrukcyjnego arsenału Internetu Rzeczy. Według analiz Gartnera obecnie w użyciu jest 8.4 miliarda urządzeń IoT, a liczba ta ma wzrosnąć do 20.4 miliardów w 2020 roku. Z kolei IHS szacuje, że do 2020 roku będzie 30 miliardów tych urządzeń, podczas gdy producent półprzewodników SoftBank mówi aż o trylionie do 2035.

Obecnie zagrożenia cyberatakami nie są jedynie związane z utratą danych, kradzieżą tożsamości czy kosztowną niedostępnością systemów. Ich skutki widoczne są też w realnym świecie, szczególnie w kontekście wykorzystywania przez hakerów Internetu Rzeczy. Polegamy na tych połączonych urządzeniach w tak kluczowych dziedzinach jak m. in. zarządzanie ruchem drogowym czy systemami na lotniskach, ostrzeganie i zarządzanie w sytuacjach awaryjnych lub kryzysowych. Jeżeli nie potraktujemy tych zagrożeń poważnie, konsekwencje cyberataków mogą mieć wpływ także na nasze życie i zdrowie.

Telnet: łatwy do osiągnięcia cel?

Podczas gdy telnet wciąż pozostaje popularną metodą do przeprowadzania ataków na IoT, F5 Labs odkryło, że cyberprzestępcy coraz częściej zmieniają stosowane taktyki.

Przykładowo, z badań F5 Labs wynika, że co najmniej 46 milionów domowych routerów jest narażonych na zdalne ataki command injection przeciwko protokołom TR-069 i TR-064. Protokoły te, stworzone aby dostawcy usług internetowych mogli na odległość zarządzać routerami swoich klientów, były wykorzystane przez thingbot Annie.

Ataki hakerów spowodowały masową utratę dostępu do sieci dla klientów kilku wiodących dostawców telekomunikacyjnych. Annie, to właśnie jeden z pięciu do tej pory zidentyfikowanych thingbotów stworzonych na bazie kodu Mirai (pozostałe to Persirai, Satori, Masuta i Pure Masuta). Spośród nich tylko Persirai i Satori wykorzystują telnet, aby uzyskać dostęp do atakowanych urządzeń.

Threat Intelligence „The Hunt for IOT”