Пять самых масштабных взломов IoT
Прослушать текстРынок IoT-устройств растет высокими темпами. Наряду с развитием отрасли остается высокой и необходимость в обеспечении безопасности. Специалистам еще предстоит найти надежные решения проблем IoT-безопасности. Предприятия обеспокоены потенциальными рисками от внедрения IoT-решений. Потребителям же необходима стабильная работа девайсов.
Исследователи в сфере кибербезопасности предлагают взглянуть на пять крупных инцидентов в сегменте IoT.
Mirai DDoS Botnet
Вероятно, самая известная атака ботнета с использованием IoT-устройств – это Mirai DDoS (атака типа «распределенный отказ в обслуживании»). Она успешно замедлила или парализовала работу сети Интернет почти на всем Восточном побережье США. В результате поставщик сетевых сервисов – компания Dyn понесла значительные убытки.
Jeep и виртуальный угон
В 2016 году два хакера, Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek), успешно захватили управление над Jeep Cherokee. Это был первый виртуальный угон. Водитель находился в салоне автомобиля. После обнаружения уязвимости в транспортном средстве, «злоумышленники» взяли под свой контроль заслонки вентиляционной системы, радио, стеклоочистители и т. д. Все это происходило пока водитель управлял автомобилем. Вскоре на дисплее мультимедийной системы появились лица Миллера и Валасека, и водитель потерял контроль над тормозами, акселератором и системой рулевого управления. В конце концов, хакеры смогли удаленно остановить машину.
Злоумышленники опубликовали список самых уязвимых автомобилей, побуждая автопроизводителей к внесению исправлений в ПО. Они порекомендовали владельцам марок этих машин обратить внимание на необходимость регулярного обновления систем.
Спустя некоторое время специалисты по информационной безопасности обнаружили, что сеть, связывающая WiFi-хаб с устройством, не зашифрована и не требует никакой аутентификации для доступа. Это означает, что любой злоумышленник, находящийся поблизости, может взломать систему и предотвратить отправку оповещений.
Сначала злоумышленник производит таргетированную атаку на камеры безопасности, которые уязвимы для неисправимой IoT-ошибки «Devil's Ivy».Хакеры обнаруживают такую уязвимую камеру в публичной сети, чтобы начать атаку. Злоумышленники используют эксплоит Devil's Ivy для восстановления заводских настроек камеры, получения root-доступа и захвата полного контроля над устройством.
Некоторые IP-камеры позволяют хакерам получить полный доступ к видеопотоку внутри здания компании. Злоумышленники смогут подобрать коды доступа к рабочим местам сотрудников, коды безопасности для зон ограниченного доступа, выяснить график работы сотрудников службы безопасности и т.д.
Сразу после обнаружения уязвимостей специалисты компании Senrio организовали публичную демонстрацию опасности такого рода системной атаки. Задачей специалистов в области ИТ-безопасности было уведомление руководства предприятий и фирм, чтобы те приняли срочные меры.
В свободном доступе эксперт по информационной безопасности и основатель сайта Have I Been Pwned? Трой Хант (Troy Hunt) обнаружил базу данных MongoDB. В документе содержится информация более чем о 820 тыс. аккаунтах CloudPets (email-адреса, имена и пароли) и более 2,1 млн голосовых сообщений родителей и их детей. Трой Хант считает, что к утечке может быть причастна румынская mReady, с которой у Spiral Toys имеются некоторые отношения по реализации интерактивного функционала игрушек. Базами данных мог воспользоваться кто угодно. Злоумышленники, например, начали «перезаписывать» базы данных, атакуя CloudPets сообщениями о выкупе и удалении впоследствии баз данных.
Подписаться на новости
Исследователи в сфере кибербезопасности предлагают взглянуть на пять крупных инцидентов в сегменте IoT.
Mirai DDoS Botnet
Вероятно, самая известная атака ботнета с использованием IoT-устройств – это Mirai DDoS (атака типа «распределенный отказ в обслуживании»). Она успешно замедлила или парализовала работу сети Интернет почти на всем Восточном побережье США. В результате поставщик сетевых сервисов – компания Dyn понесла значительные убытки.
Ботнет был развернут из корыстных побуждений 21-летним Парасом Джа (Paras Jha штат Нью-Джерси), Далтоном Норманом (Dalton Norman, штат Луизиана) и 20-летним Джозиа Уайтом (Josiah White, штат Пенсильвания). Злоумышленники планировали вывести из строя частные серверы с игрой Minecraft и переманить пользователей на свой сервер.
Среди пострадавших – не только серверы с Minecraft обслуживаемые DNS-провайдером Dyn, но и Twitter, Reddit, Yelp, Imgur, PayPal, Airbnb, Pinterest, Soundcloud, Spotify, GitHub, HBO, CNN, Starbucks, Yammer и т.д. Без стабильной мобильной связи несколько часов оставались абоненты крупнейшего европейского оператора связи Deutsche Telekom. Проблемы с доступом в сеть наблюдались у пользователей США и Западной Европы.
Ботнет отсканировал множество открытых портов Telnet и осуществил процедуру аутентификации при помощи 61 комбинации логина/пароля устройств, заданных производителями по умолчанию. Выяснилось, что армию из взломанных устройств создали студенты Ратгерского университета (Rutgers University).
Jeep и виртуальный угон
В 2016 году два хакера, Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek), успешно захватили управление над Jeep Cherokee. Это был первый виртуальный угон. Водитель находился в салоне автомобиля. После обнаружения уязвимости в транспортном средстве, «злоумышленники» взяли под свой контроль заслонки вентиляционной системы, радио, стеклоочистители и т. д. Все это происходило пока водитель управлял автомобилем. Вскоре на дисплее мультимедийной системы появились лица Миллера и Валасека, и водитель потерял контроль над тормозами, акселератором и системой рулевого управления. В конце концов, хакеры смогли удаленно остановить машину.Злоумышленники опубликовали список самых уязвимых автомобилей, побуждая автопроизводителей к внесению исправлений в ПО. Они порекомендовали владельцам марок этих машин обратить внимание на необходимость регулярного обновления систем.
Owlet WiFi кардиомонитор для детей
Owlet – это сенсор контроля сердечного ритма, который используется в младенческих носочках. Применять устройство можно с рождения до 18 месяцев. Носочки совместимы с ОС iOS и Android 30 и работают по Bluetooth 4.0 в радиусе 30 м. Носочки контролируют частоту ударов сердца, уровень кислорода в крови, положение тела во время сна. Родители могут настроить оповещения в приложении для смартфонов, если показатели будут отклонятся от нормы.Спустя некоторое время специалисты по информационной безопасности обнаружили, что сеть, связывающая WiFi-хаб с устройством, не зашифрована и не требует никакой аутентификации для доступа. Это означает, что любой злоумышленник, находящийся поблизости, может взломать систему и предотвратить отправку оповещений.
Devil’s Ivy и атака Рубе-Голдберга
В 2018 году на портале Wired появилась информация о популярном и тщательно разработанном способе взлома IoT, известном как атака Рубе-Голдберга (Rube-Goldberg Attack). При ее реализации используется уязвимость Devil's Ivy (Дьявольский плющ). Сценарий выглядит следующим образом:Сначала злоумышленник производит таргетированную атаку на камеры безопасности, которые уязвимы для неисправимой IoT-ошибки «Devil's Ivy».Хакеры обнаруживают такую уязвимую камеру в публичной сети, чтобы начать атаку. Злоумышленники используют эксплоит Devil's Ivy для восстановления заводских настроек камеры, получения root-доступа и захвата полного контроля над устройством.
Некоторые IP-камеры позволяют хакерам получить полный доступ к видеопотоку внутри здания компании. Злоумышленники смогут подобрать коды доступа к рабочим местам сотрудников, коды безопасности для зон ограниченного доступа, выяснить график работы сотрудников службы безопасности и т.д.
Сразу после обнаружения уязвимостей специалисты компании Senrio организовали публичную демонстрацию опасности такого рода системной атаки. Задачей специалистов в области ИТ-безопасности было уведомление руководства предприятий и фирм, чтобы те приняли срочные меры.
Взломанные игрушки CloudPets
CloudPets – это подключенные игрушки, которые позволяют родителям и детям отправлять звуковые сообщения друг другу. Но у таких игрушек выявлен один неожиданный изъян. Поэтому электронные почтовые ящики и пароли родителей (учетные записи), а также сами голосовые сообщения, были размещены онлайн и стали доступны злоумышленникам.
«Любой, кто находился в диапазоне десяти метров с обычным смартфоном, мог запросто подключиться к ним. После подключения злоумышленники могли отправлять и получать команды и данные», – сказал Пол Стоун (Paul Stone), исследователь в области информационной безопасности, который изучил, как работают игрушки CloudPets.
В свободном доступе эксперт по информационной безопасности и основатель сайта Have I Been Pwned? Трой Хант (Troy Hunt) обнаружил базу данных MongoDB. В документе содержится информация более чем о 820 тыс. аккаунтах CloudPets (email-адреса, имена и пароли) и более 2,1 млн голосовых сообщений родителей и их детей. Трой Хант считает, что к утечке может быть причастна румынская mReady, с которой у Spiral Toys имеются некоторые отношения по реализации интерактивного функционала игрушек. Базами данных мог воспользоваться кто угодно. Злоумышленники, например, начали «перезаписывать» базы данных, атакуя CloudPets сообщениями о выкупе и удалении впоследствии баз данных.
Автор: Изабель Харнер (Isabel Harner)
Обсудить
Назад
