Najveći DDoS napad od 1 Tbps pomoću 152.000 hakovanih pametnih (IoT) uređaja
Možda je i vaš pametni uređaj (nenamerno) bio deo najvećeg DDoS napada ikada zabeleženog na internetu!
Možda je i vaš pametni uređaj (nenamerno) bio deo najvećeg DDoS napada ikada zabeleženog na internetu! Ukoliko posedujete pametni uređaj poput televizora povezanog na internet, automobila, frižidera ili termostata, možda ste deo mreže botova koju čine milioni zaraženih uređaja koji su korišćeni za najveći DDoS napad.
"OVH", hosting provajder iz Francuske, bio je žrtva ovog napada jačine preko 1 terabit po sekundi tokom protekle nedelje.
Pošto broj IoT uređaja dinamično raste, povećava se i broj mesta (ulaznih tačaka) preko kojih napadači mogu ući u vaš sistem. Zbog niskog nivoa bezbednosti i enkripcijskih mehanizama, IoT uređaji su laka meta i sajber-kriminalci ih sve više koriste za DDoS napade.
Osnivač i direktor "OVH"-a objavio je na Tviteru da je kompanija doživela 2 simultana DDoS napada sa ukupnim protokom oko 1 Tbps. Napad je izveden uz pomoć više od 152.000 IoT uređaja, a među njima su i kompromitovane CCTV kamere i lični video rekorderi.
Last days, we got lot of huge DDoS. Here, the list of "bigger that 100Gbps" only. You can see the
— Octave Klaba / Oles (@olesovhcom) September 22, 2016
simultaneous DDoS are close to 1Tbps ! pic.twitter.com/XmlwAU9JZ6
Još prošle godine stručnjaci su upozoravali na problem da proizvođači IoT uređaja i kućnih rutera koriste nepromenjene SSH kriptografske ključeve što milione uređaja poput kućnih rutera, modema i IP kamera ostavlja podložnim za hakovanje. Najgore od svega je što se za te nebezbedne IoT uređaje više ne prave bezbednosna ažuriranja.
Pročitajte i: Šta su DDoS napadi?
IoT i DDoS
Broj malvera koji targetiraju IoT uređaje se značajno povećao protekle godine, uz pojavu 8 novih familija malvera. Više od polovine IoT napada poteklo je iz Kine i SAD-a, a značajan broj dolazi iz Rusije, Nemačke, Holandije, Ukrajine i Vijetnama. Napadači koriste činjenicu da su mnogi IoT uređaji laka meta zbog slabe zaštite (korišćenja difoltnih lozinki). Stručnjaci za bezbednost su još ranije upozoravali na mogućnost IoT napada. Međutim, malo njih je razmišljalo o vrstama ovih napada, odnosno u koje se sve svrhe IoT uređaji mogu koristiti. Naime, napadači nisu zainteresovani za žrtvu (vlasnika IoT uređaja) već uglavnom za to da IoT uređaj dodaju mreži botova kojima izvršavaju dobro poznate DDoS napade.
Proteklog meseca zabeležen je veliki DDoS napad uz pomoć 3 različite mreže botova - CCTV, kućnih rutera i kompromitovanih web servera. Iako to ranije nije bilo uobičajeno, u budućnosti možemo očekivati sve veći broj napada sa različitih IoT platformi s obzirom na to da će sve veći broj uređaja biti povezan na internet.
IoT uređaji sve češća meta napadača
Većina IoT malvera cilja uređaje koji nisu povezani sa računarom. Mnogi imaju pristup internetu, ali zbog svog operativnog sistema i tehničkih ograničenja često nemaju napredne bezbednosne opcije. Uređaji su često dizajnirani tako da kada se jednom aktiviraju (podese se osnovna podešavanja), više im se ne posvećuje pažnja. Za mnoge ne postoji ažuriranje firmwarea ili vlasnici zaboravljaju da to urade, a uređaji se zamenjuju tek kad postanu tehnički zastareli. Kada se sve ovo ima u vidu, jasno je da bilo kakva infekcija ili kompromitovanje uređaja može vrlo lako proći neopaženo. Zbog toga su IoT toliko privlačni za DDoS napade.
Poreklo napada
Najviše napada dolazi iz Kine (34%), SAD-a (26%), Rusije (9%), Nemačke (6%), Holandije i Ukrajine po 5%, a na top 10 listi su još Vijetnam, UK, Francuska i Južna Koreja. Najčešće pretnje koje su zabeležene u Symantec IoT honeypot-u su Linux.Kaiten.B i Linux.Lightaidra.
Najčešće korišćena korisnička imena i lozinke
Napadi na Symantecov honeypot su otkrili koji se kredencijali najčešće koriste za logovanje u IoT uređaje. Na prvom mestu je kombinacija 'root' i 'admin', a ostale se mogu videti u tabeli ispod.
| Top user names | Top passwords |
|---|---|
| root | admin |
| admin | root |
| DUP root | 123456 |
| ubnt | 12345 |
| access | ubnt |
| DUP admin | password |
| test | 1234 |
| oracle | test |
| postgres | qwerty |
| pi | raspberry |
Najčešći IoT malveri
Kako napadači ubacuju malver u IoT uređaj? Najčešći metod je traženje nasumičnih IP adresa sa otvorenim Telnet ili SSH portovima nakon čega slede brute-force pokušaji logovanja pomoću uobičajenih kredencijala. Zbog različitih platformi na kojima IoT uređaji rade, IoT malver ponekad funkcioniše tako što nasumično downloaduje bot exe fajlove za više platformi i pokreće ih jedan po jedan dok ne nađe odgovarajući. Malver takođe može imati modul koji vrši proveru platforme i onda downloaduje samo odgovarajući bot binary.
Kada se bot binary izvrši, uspostavlja se veza sa C&C serverom i čeka se komanda.
Malver za više platformi
Napadači na jednostavan način kreiraju malver za veći broj platformi. Najčešće mete su x86, ARM, MIPS i MIPSEL platforme, a ta lista se stalno povećava tako da sada postoje varijante malvera za PowerPC, SuperH i SPARC platforme. Tako lista potencijalno ranjivih uređaja stalno raste - ugroženo je sve više web servera, rutera, modema, NAS uređaja, CCTV sistema, ICS sistema i drugih IoT uređaja.
Jedna interesantna karakteristika mnogih IoT malvera je mogućnost prekidanja drugih procesa, naročito onih koji su pokrenuti od strane drugih poznatih varijanti malvera. Nekada je to korišćeno kako bi se eliminisao konkurentski malver. Danas postoji i sofisticiraniji pristup (promena iptable pravila), a pored eliminacije konkurencije, cilj je sprečiti bilo kakav pokušaj eksternog pristupanja uređaju i ponekad sprečavanje pristupa legitimnim administratorima.
Kako se zaštititi?
- Upoznajte mogućnosti i bezbednosne karakteristike IoT uređaja pre kupovine.
- Izvršite inspekciju IoT uređaja koji su u vašoj mreži.
- Promenite fabričke kredencijale. Koristite jaku i jedinstvenu lozinku za uređaj i Wi-Fi mrežu. Nikako nemojte da koristite lozinku poput "123456" ili "password".
- Koristite metod jake enkripcije kod podešavanja Wi-Fi mreže (WPA).
- Onemogućite Telnet logovanje i koristite SSH gde god je moguće.
- Modifikujte fabrička podešavanja privatnosti i bezbednosti IoT uređaja u skladu sa sopstvenom bezbednosnom politikom i potrebama.
- Onemogućite ili zaštitite pristup IoT uređaju sa udaljene lokacije kada za to nema potrebe.
- Koristite kablovsku umesto bežične konekcije gde je to moguće.
- Redovno proveravajte na sajtu proizvođača da li je došlo do ažuriranja firmwarea.
- Postarajte se da uređaj ostane bezbedan i kada hardver nije u funkciji.
Izvori: Symantec Connect i The Hacker News
![Lažni sajt Microsoft tehničke podrške - novi trikovi sajber kriminalaca [VEST]](/images/9/4/1/d/b/941dbb8eb1de822a8af91786319e0f99007eff7b-1laznatehnickapodrska.jpg "Lažni sajt Microsoft tehničke podrške - novi trikovi sajber kriminalaca [VEST]")
