Компания Avast выкатила очень интересный отчет об эксперименте, который был поставлен в конце февраля 2019 года, накануне открытия выставки Mobile World Congress 2019 (MWC). Эксперты по кибербезопасности активировали 500 систем-приманок (honeypot, приманки-«горшочки с медом», имитирующие уязвимые устройства Интернета вещей) в 10 странах мира и стали ждать, как интенсивно на них станут набрасываться «медведи».
Ловушки для хакеров работали в течение четырех дней мероприятия и после него. В настройках ловушек исследователи указали открытые порты, которые обычно имеются у подключенных устройств, чтобы заставить хакеров поверить, что те обращаются к настоящим маршрутизаторам, телевизорам и приставкам Smart TV, камерам видеонаблюдения и другой «умной» технике.
Результаты превзошли все возможные ожидания специалистов. К закрытию выставки MWC команда Avast зарегистрировала 23,2 миллиона попыток установить соединение с ловушками. Другими словами, 500 фиктивных IoT-устройств могли бы быть взломаны киберпреступниками за четыре дня 23,2 миллиона раз (!).
На каждое устройство ежедневно совершалось в среднем 11 588 атак. Чаще всего неизвестные лица сканировали три порта — порт 8080, которым оснащены медиаплееры Chromecast и умные колонки Google Home, порты 22 (Telnet) и 23 (SSH), присутствующие во многих маршрутизаторах. По данным Avast, тремя самыми «популярными» у неизвестных пользователей странами оказались Ирландия, Германия и США. Больше всего попыток сканирования портов было предпринято из США, Китая и Франции.
«…Попытайтесь представить, что нас ждет в следующем году, когда число реальных подключенных устройств по всему миру достигнет 38,5 миллиардов. Чтобы оценить масштаб угрозы, мы взяли среднее число подключений к каждой системе honeypot за день работы MWC, умножили этот показатель на общее количество устройств IoT, которое, по прогнозам экспертов, будет использоваться в следующем году, и получили внушительную цифру, охватывающую все страны мира, — более 446 триллионов попыток подключения в сутки, при условии, что все эти устройства останутся общедоступными через интернет. Конечно, это худший вариант из возможных, однако все факты указывают на то, что мы стоим на пороге глобальной катастрофы в области кибербезопасности», — Мартин Хрон, специалист по безопасности Avast.
Ранее АКБ рассказывало про другое аналогичное исследование , которое провели израильские эксперты по кибербезопасности. Они протестировали, сколько продержится не снабженное защитой IoT-устройство в «естественной среде обитания». Оказалось — до ужаса мало.
Согласно данным отчета компании Allot Communications, вредоносное ПО инфицирует незащищенное IoT-устройство за в среднем за 42,5 секунды. При этом пиковое количество успешных атак на подобный девайс может достигать тысячи «штурмов» в час.
В эксперименте израильских специалистов так же использовались не реальные устройства, а приманки-ханипоты. Тест проходил с 24 апреля по 2 мая 2018 года.
Помимо того, с какой скоростью хакеры берут под контроль беззащитные устройства, эксперты выяснили также типичный алгоритм действий по захвату устройства. После того, как устройство заражено, хакеры производят проверку его подлинности. Устройство, признанное подлинным, блокируется хакером от сторонних хакерских атак. Это делается для того, чтобы зараженное устройство выполнило поставленную перед ним цель. Наиболее типичные мотивы: майнинг биткоинов, использование устройства в качестве прокси для анонимизации траффика, участие в ботнет-атаке, а также поиск других уязвимых устройств для расширения ботнет-сети путем их вербовки.
Источники атак более-менее равномерно распределены по всему миру, в основном хакеры происходят из США, Европы и Восточной Азии.
