Nowy botnet atakuje IoT
2017-10-27 12:07
Nowy botnet atakuje IoT © wutzkoh - Fotolia.com
Check Point Software Technologies ostrzega przed nowym zagrożeniem. Tworzony ma być właśnie nowy botnet, który może wywołać w cyberprzestrzeni prawdziwą burzę. Szacuje się, że zdołał już zainfekować milion organizacji. Na celowniku są przede wszystkim urządzenia IoT, w tym kamery IP przejmowane w celu sterowania atakiem.
Przeczytaj także: OMG atakuje urządzenia IoT
Nad cyberprzestrzenią zbierają się kolejne chmury burzowe. Specjaliści firmy Check Point odkryli własnie nowe zagrożenie. Wykryty botnet działa dynamicznie i na szeroko zakrojoną skalę, przejmując urządzenia IoT w znacznie szybszym tempie i najpewniej z gorszym skutkiem niż robił to w minionym roku Mirai Botnet.Botnety, które obierają sobie za cel IoT, są połączone z siecią poprzez inteligentne urządzenia, zainfekowane szkodnikiem i zdalnie sterowane przez cyberprzestępcę. To właśnie na nich spoczywa odpowiedzialność za największe na świecie ataki na organizacje, w tym m.in. na szpitale czy ruchy polityczne.
Wprawdzie niektóre aspekty mogłyby sugerować, że nowe zagrożenie ma związek z wykrytym w sierpniu 2016 botneten Mirai, to jednak eksperci podkreślają, że jest to zupełnie nowy atak o większym zaawansowaniu. Jest za wcześnie, aby zgadnąć, jakie intencje mają atakujący, ale biorąc pod uwagę poprzednie ataki typu Botnet DDoS, które paraliżowały Internet, ważne jest, aby organizacje były odpowiednio przygotowane i miały opracowane właściwe mechanizmy obronne, zanim nastąpi atak.
Niepokojące sygnały zostały najpierw wykryte pod koniec września przez System Zapobiegania Intruzom (ang. Intrusion Prevention System - IPS) firmy Check Point. Hakerzy przeprowadzają coraz więcej prób wykorzystania luk w zabezpieczeniach różnych urządzeń IoT.
Z każdym dniem szkodliwe oprogramowanie rozwijało się, aby wykorzystać wzrastającą liczbę luk w zabezpieczeniach bezprzewodowych kamer IP, takich jak GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology i innych. Wkrótce okazało się, że próby ataków pochodzą z różnych źródeł i różnych urządzeń IoT, co oznacza, że atak został rozpowszechniony przez urządzenia IoT.
fot. mat. prasowe
Ataki na adresy IP
Szacuje się, że do tej pory ponad milion organizacji na świecie zostało zarażonych wirusem, od USA po Australię, a liczba zainfekowanych organizacji stale wzrasta.
Badania Check Pointa sugerują, że to wciąż jeszcze cisza przed potężną burzą. Cyber-huragan ma dopiero nadejść.
fot. mat. prasowe
Mapa zagrożeń
Tło badań
Tworzenie sieci zainfekowanych urządzeń to długotrwałe zajęcie dla hakera. W celu utworzenia skutecznego Botneta, osoba atakująca musi mieć możliwość sterowania ogromną liczbą urządzeń. Wysłanie złośliwego kodu do każdego urządzenia indywidualnie byłoby dużym i czasochłonnym zadaniem - łatwiej jest, kiedy każdy zainfekowany komputer rozprzestrzenia szkodliwy kod dalej, na podobne sobie urządzenia. Ta metoda ataku bywa nazywana atakiem propagacyjnym ima duże znaczenie przy szybkim tworzeniu dużej sieci kontrolowanych urządzeń.
Badania nad Botnetem zaczęły się pod koniec września '17 - po zaobserwowaniu wzrostu prób naruszenia ochrony IoT IPS. Po dostrzeżeniu tej podejrzanej działalności specjaliści szybko zorientowali się, że są świadkami kolejnych etapów rozwoju rozległej sieci botów IoT.
Analizowanie węzła w łańcuchu
Korzystając z globalnej mapy zagrożeń firmy Check Point, pokazującej dużą liczbę ataków w zabezpieczeniach IoT IPS, firma zaczęła sprawdzać niektóre źródła ataków w celu uzyskania lepszego obrazu obecnej sytuacji.
Po dalszych badaniach stwierdzono, że liczne urządzenia były namierzane, a następnie przekazywały dalej infekcję. Ataki te pochodziły z wielu różnych typów urządzeń i wielu różnych krajów, w sumie atakując około 60% sieci firmowych należących do sieci globalnej ThreatCloud.
Podsumowując, w ciągu ostatnich kilku dni nowy botnet ewoluował. Choć niektóre aspekty techniczne wskazują na możliwość powiązań z botnetem Mirai, jest to zupełnie nowy atak, szybko rozprzestrzeniający się po całym świecie. Jest jeszcze za wcześnie, aby ocenić zamiary hakerów, ale niewątpliwie należy wykonać odpowiednie przygotowania, aby mechanizmy obronne były sprawne zanim nastąpi atak.
Zasięg IPS
Chociaż powyższy problem może skutkować milionami ataków, metody infekcji są już blokowane przez Check Point IPS. Wymieniona wyżej luka została uwzględniona, a urządzenia są obecnie monitorowane pod kątem nowych odmian wirusa. Poniższa tabela zawiera informacje o zabezpieczeniach protokołu IoT udostępnianych przez protokół IPS, które są połączone i potencjalnie związane z tym atakiem.
Przeczytaj także:
Systemy IoT, czyli korzyści i problemy
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)