Компания Check Point Research, занимающаяся предоставлением услуг киберразведки, обнаружила вирус Reaper, который атакует девайсы, подключенные к интернету вещей. Компания сообщает, что вирус распространяется гораздо быстрее, чем Mirai, «нашумевший» в 2016 году. По некоторым оценкам, он уже заразил два миллиона IoT-устройств.
/ Flickr / Cali4beach / CC
Вирус Mirai показал, чем может обернуться атака зараженных устройств, подключенных к интернету вещей. В сентябре 2016 года Брайан Кребс (Brian Krebs) опубликовал статью, посвященную группировкам, которые продают услуги ботнетов для осуществления DDoS-атак. После чего на его сайт обрушилась одна из самых мощных DDoS-атак в истории с трафиком 665 Гбит/с.
Что касается нового вируса, то Reaper имеет определенное сходство с Mirai, но на самом деле это полностью новый и гораздо более сложный вредонос, который стремительно распространяется по миру. Так пишут в своем блоге Check Point Research.
Однако новый вирус использует известные уязвимости девайсов. В базе Reaper содержится информация об устройствах следующих компаний: D-Link, Netgear, Linksys, AVTech, Vacron, JAWS и GoAhead.
Некоторые из указанных производителей уже выпустили обновления безопасности, однако не все пользователи их установили. Поэтому многие устройства пока остаются под угрозой.
Комментируя ситуацию, Надир Израэль (Nadir Izrael), сооснователь компании Armis, обеспечивающей безопасность интернета вещей, указал на проблему обновлений.
Он отметил, что большинство подключенных девайсов обновить не так просто. По его словам, у многих из них нет нормального интерфейса, понятного пользователям и ИТ-специалистам. На некоторых стоит стандартный пароль, который владелец может не знать. А часть вообще не поддерживает обновления.
Специалисты проанализировали код Reaper и обнаружили, что вредонос способен проводить DDoS-атаки, но их пока не было. Вероятно, автор вируса ждет, пока тот распространится по миру.
Зараженные устройства автоматически рассылают вирус на другие подключенные гаджеты — по данным Check Point Research, этим «занимается» приблизительно 60% корпоративных сетей, являющихся частью глобальной сети ThreatCloud.
Например, для подключения к ботнету IP-камеры GoAhead используется уязвимость CVE-2017-8225. Файл System.ini зараженного устройства содержит netcat-команду, которая устанавливает соединение с системой атакующего. После чего гаджет самостоятельно начинает поиск других «жертв». Подобным образом, вирус попадает на 10 тысяч новых устройств ежедневно.
Интернет уязвимых вещей
Безопасность интернета вещей — актуальная проблема. Согласно исследованию HP, 80% устройств не требуют от пользователей вводить сложные пароли. Именно этим воспользовался в свое время Mirai: у него в базе было 60 распространенных пар логин – пароль. Простой подбор позволил вирусу заразить 400–500 тысяч устройств.
Существует даже специальная поисковая система Shodan, в которой можно найти информацию о 100 млн подключенных устройств, в том числе слабозащищенных. Достаточно ввести запрос default password или подобный.
Исследование HP также выявило, что на 60% устройств во время обновления не применяется шифрование. За счет этого злоумышленники могут перехватить файл обновления и встроить в него сторонний код.
Также недавно была обнаружена уязвимость в протоколе безопасности WPA2, который используется для установления Wi-Fi-соединений. А Wi-Fi используется рядом IoT-устройств. Тип атаки на WPA получил название KRACK и позволяет злоумышленнику принудить участников сети провести реинсталляцию ключей шифрования, защищающих трафик.
Во время переопределения ключа номер переданного пакета и номер принятого пакета сбрасываются на начальные значения. Атака ломает PeerKey, групповой ключ и рукопожатие Fast BSS Transition (FT). У злоумышленника появляется возможность расшифровать пакеты и внедрить вредоносный код в потоки TCP.
Метод KRACK универсален и работает против любых устройств, подключенных к сети Wi-Fi. То есть помимо IoT-устройств под ударом оказываются все пользователи Android, iOS, Windows, Linux и т. д.
P.S. Другие материалы из нашего блога:
- Особенности 2FA: работает ли это в облаке
- Защита персональных данных: европейский подход
- VMware NSX: как повысить безопасность в области здравоохранения
Автор: ИТ-ГРАДовец