Кроме обычных серверов и компьютеров, в интернете сейчас можно найти телевизоры, камеры видеонаблюдения, автомобили и другие устройства, которые специалисты еще несколько лет назад даже не представляли в качестве элементов сети. И число подобных устройств стремительно увеличивается, в совокупности образуя Интернет вещей.
Однако, практически все эти устройства почти не защищены от возможных атак злоумышленников. Мало кто из пользователей меняет стандартную пару логин-пароль для доступа к ним, да и многие вещи просто не имеют такой возможности. Поэтому, проникновение на подобные устройства и захват управления ними проводится злоумышленниками довольно легко.
Последние годы компания «Доктор Веб» внимательно мониторит за возможными угрозами из этого сегмента. Для сбора статистики специалисты выставляют в сети различные приманки, имитирующие поведение умных устройств, и смотрят, чем и насколько быстро хакеры их заражают. Используются практически все существующие аппаратные платформы: ARM, MIPS, PowerPC и Intel x86_64 и пр. Это позволяет анализировать методы проникновения и создавать способы противодействия.
Немного статистики
За четыре года наблюдений и выставления ловушек число атак и заражений выросло лавинообразно. Если за первое полугодие 2016 оно составляло всего 729 тыс., то за аналогичный период 2019 года количество атак выросло до 73 миллионов. За четырехлетний период количество заражений ловушек выросло более чем в 100 раз!
География IP-адресов, откуда проводились атаки довольно обширна, однако в тройку лидеров входит и Россия. На первом месте традиционно расположились США, а затем следуют Нидерланды.
В случае успешной атаки злоумышленники загружают на устройство одну или несколько троянских программ. В целом, общее число уникальных вирусных сигнатур, обнаруженных специалистами «Доктор Веб» составило более 131 тысячи штук.
Среди всех обнаруженных вредоносных программ наибольшее количество (34%) пришлось на экземпляры семейства Linux.Mirai, затем с большим отставанием идут загрузчики Linux.DownLoader и троянцы Linux.ProxyM (3 и 1,5% соответственно).
Попав на устройство, троянцы через некоторое время начинают выполнять следующие запрограммированные действия:
- подключатся к ботнет сетям для проведения групповых DDoS-атак;
- пытаются самостоятельно заразить другие устройства, скачивают дополнительные вредоносные приложения;
- дают доступ своему создателю для управления зараженным устройством;
- выступают в качестве прокси-сервера;
- майнят криптовалюту и пр.;
Большое число вирусных программ не ограничивается одной функций, а в зависимости от внешней команды могут выполнять сразу несколько действий.
Выводы
Устройства с выходом с глобальную сеть все чаще и чаще используются на бытовом уровне обычными гражданами всех стран. Установленные в них вычислительные компоненты и операционные системы часто несовершенны, легко поддаются взлому. Важную роль в слабой защищенности подобных систем играют ограничения технологии изготовления, из-за чего защитить их на должном уровне становится проблематично или вовсе невозможно. Да и сами владельцы этих «игрушек» не считают нужным что-либо предпринимать для их защиты.
Поэтому число атак на устройства Интернета вещей будет расти и в будущем. Компания «Доктор Веб» пристально следит за развитием событий, постоянно анализирует методы атак злоумышленников на умные устройства и загружаемые вредоносные программы. Обнаруженные сигнатуры включаются в антивирусные базы продуктов Dr.Web, локализуются и удаляются при обнаружении.