Saugumo tyrėjai atrado naują „Hide and Seek IoT“ kenkėjiškų programų formą. Naujausia versija dabar gali išgyventi užkrėsto įrenginio paleidimą iš naujo.
„Bitdefender“ tyrėjai šį variantą stebėjo nuo balandžio pabaigos. Šiuo metu „botnete“ užkrėtė beveik 90 000 unikalių įrenginių.
Saugumo tyrėjai atrado naują „Hide and Seek IoT“ kenkėjiškų programų formą. Naujausia versija dabar gali išgyventi užkrėsto įrenginio paleidimą iš naujo. „Bitdefender“ tyrėjai šį variantą stebėjo nuo balandžio pabaigos. Šiuo metu „botnete“ užkrėtė beveik 90 000 unikalių įrenginių.
Tipiniame „botnete“ funkcionuoja vienas arba daugiau „botneto kontrolerių“ ir dešimtys, šimtai, tūkstančiai „botų“ (užkrėstų kompiuterių). „Botnetas“ formuojamas taip:
- internetu pradedamas platinti kompiuterinis kirminas. Tai gali būti padaryta įvairiais būdais, kad gautų prieigą prie kompiuterio ar kito įrenginio,
- toliau kirminas plinta pats, pasinaudodamas vienu ar keliais įsibrovimo metodais,
- kiekviename užkrėstame kompiuteryje ar įrenginyje įkeliama ir paleidžiama „boto“ programa.
„Bitdefender“ vyresnysis e. grėsmių analitikas Bogdanas Botezatus sakė, kad nauji užpuolimai dabar turi kodą, kad būtų galima pasinaudoti dviem naujomis pažeidžiamomis įrenginių galimybėmis, siekiant užvaldyti daugiau IPTV kamerų modelių.
„Be pažeidžiamumo, „botnetas“ taip pat gali nustatyti du naujus įrenginių tipus ir perduoti jų numatytąjį vardą ir slaptažodžius“, – sakė jis.
Kenkėjiška programinė įranga nukreipta į keletą bendrų įrenginių. Kai užkrėstas, įrenginys nuskaito kaimyninius įrenginius „Telnet“ paslaugos dėka. Botezatus sakė, kad iškart, kai „telnet“ paslauga randama, užkrėstas įrenginys bando laisvai prisijungti. Jei sėkmingai prisijungiama, kenkėjiška programa apriboja prieigą prie prievado 23, kad galbūt užkirstų kelią kitiems piktavaliams iš „botneto“ užvaldyti įrenginį.
„Šis išpuolių kelias yra skirtas įvairiems įrenginiams ir architektūrai. Mūsų tyrimai rodo, kad „botnetas“ turi 10 skirtingų dvejetainių rinkinių, sudarytų įvairioms platformoms, įskaitant x86, x64, ARM (Little Endian ir Big Endian), „SuperH“, PPC ir t. t.“, – sakė jis.
Kai sėkmingai užsikrečiama, kenkėjiška programa kopijuoja save /etc/init.d/ ir pradeda naudoti operacinę sistemą.
Tačiau labiausiai nerimą kelianti nauja kenkėjiškų programų savybė yra sugebėjimas išlikti, nepaisant to, kad ji iš naujo paleista. Iki šiol įrenginių savininkai visada galėjo pašalinti IoT kenkėjiškas programas iš savo protingų įrenginių, modemų ir maršrutizatorių, iš naujo nustatydami įrenginį.
Botezatus teigė, kad norint pasiekti tikslą, įsilaužimas turi būti vykdomas per „Telnet“, nes kopijos binariniam katalogui init.d reikalauja root privilegijų.
„Vėliau atsiveria atsitiktinis UDP prievadas, kuris skleidžiamas kaimyniniams įrenginiams. Šis prievadas bus naudojamas elektroninių nusikaltėlių, norint susisiekti su įrenginiu“, – sakė jis.
Jis pridūrė, kad „botnetas“ vis dar gali būti augimo etape, nes piktavaliai bando užkrėsti kuo daugiau įrenginių, prieš pridedant jais naudotis.
„AlienVault“ saugumo advokatas Javvad Malik sakė, kad organizacijoms, kurios įsidiegė „IoT" įrenginius, turėtų būti siekiama ištaisyti įrenginius, keičiant numatytąją konfigūraciją, išjungiant nereikalingas paslaugas, taip pat apsaugant juos tinkle, kad jie nebūtų lengvai prieinami viešai ir užkrėsti.
„Be to, grėsmių aptikimo kontrolė turėtų būti įdiegta tinkle, kuris gali stebėti „IoT“ įrenginių tinklo srautą ir įspėti, kai įrenginys palaiko ryšius su įprastomis ribomis, naudodamas netikėtus prievadus arba susisiekdamas su nežinomais serveriams“, – sakė jis.
„One Identity“ direktorius Patrickas Hunteris sakė, kad šios atakos esmė – visur gauti leidimus (prieigos prie root), kad būtų galima nukopijuoti save į katalogą init.d – tai yra neįmanoma be tų leidimų.
„Šie išpuoliai pasižymi dviem aspektais: vienu gauna tą prieigą, o kitu – kelią į įrenginį. Jei visi įrenginiai pakeitė ir užrakino savo numatytuosius slaptažodžius, niekas nebegali juos pakeisti ir piktavaliai gauna laisvą prieigą prie įrangos. Ir jų brutalios jėgos atakos tampa sunkesnės“, – sakė jis.
„Šiame straipsnyje aprašytame metode buvo naudojamas „Telnet“ paslauga ir jos prievadas. Protokolas, kuris iš esmės nėra apsaugotas nuo atakos. dar galima pridurti, kad daugelis iš šių įrenginių vis dar naudoja numatytuosius slaptažodžius nuo tada, kai jie buvo paimti iš dėžutės. Per keletą metų mes matėme IoT pagrįstus išpuolius prieš kameras naudodami šią paprastą techniką – tiesiog pabandykite prisijungti prie jų pagal nutylėjimą.“
Hunteris sakė, kad organizacijos turėtų „užrakinti“ privilegijuotus paskyros slaptažodžius, keisti juos iš numatytųjų, padaryti juos labai ilgaus ir sudėtingus (išvengti žodynų atakų) ir reguliariai juos keisti.
