Анализ угроз

Прогноз на 2019 год: интернет (уязвимых) вещей

Threat Intelligence Team, 31 января 2019

В первой части прогноза на 2019 год эксперты Avast ознакомят вас с самыми опасными угрозами Интернета вещей, с которыми придется столкнуться в следующем году.

Прочность цепи определяться ее самым слабым звеном. Это правило применимо и к миру цифровой защиты. В этом году мы выявили растущую тенденцию — когда дома или в небольшой компании взламывается одно устройство (обычно это роутер), остальные устройства в сети становятся легкой мишенью для злоумышленников. В связи с тем, что количество подключаемых к сети устройств (принадлежащих к так называемому Интернету вещей) растет быстрее, чем какая-либо категория устройств в истории, становится все труднее покупать бытовые приборы и товары для дома, которые не имеют подключения к сети.

От подключаемого к интернету освещения до кофеварок, от «умных» динамиков до дверных замков... Устройства Интернета вещей (IoT) стимулируют развитие целого класса атак, направленных на использование слабых мест в их конфигурации, уязвимостей их защиты и малого взаимодействия пользователей с их настройками. Поэтому наши прогнозы в первую очередь затрагивают ситуации, в которых проникновение злоумышленников в систему одного устройства Интернета вещей может открыть доступ ко всему периметру устройств IoT со взломанными модемами.

В начале нового года мы опубликуем серию из трех статей о прогнозах на 2019 год. В этих статьях мы расскажем об Интернете вещей, угрозах для мобильных устройств и искусственном интеллекте. Эти статьи основаны на исследованиях, проведенных специалистами Avast по изучению угроз, и доступных им данных. В первой статье мы сосредоточим внимание на своих прогнозах относительно ключевых угроз для Интернета вещей в 2019 году, включая угрозы 2018 года, которые остаются столь же опасными в наступившем году.

avast-protection

 

Краткая сводка за 2018 год: попытки атак в зависимости от устройства и типы заблокированных атак по месяцам

Интернет (уязвимых) вещей

Категория Интернета вещей расширяется очень быстро, и причины этого понятны. У человека обычно есть один ноутбук и мобильный телефон, но у него дома может быть множество подключаемых устройств: от дверного звонка до развлекательных платформ и системы домашней безопасности. Согласно Juniper Research к 2020 году количество подключаемых устройств достигнет 38,5 миллиарда.

Вот некоторые бренды и сервисы, которые можно встретить в системе «умного» дома по всему миру.

 

Avast_Security_Predictions_Smart_Home

 

Тенденция к увеличению количества «умных» устройств в ближайшие годы приведет к тому, что нужно будет сильно постараться, чтобы купить бытовую технику или электронику, которая не имеет подключения к интернету.

Как показывает большая часть наших исследований, при производстве этих устройств о безопасности, к сожалению, думают в последнюю очередь. «Умные» устройства от крупнейших производителей зачастую имеют приемлемую встроенную защиту, но некоторые разработчики экономят на безопасности, чтобы снизить цены для потребителей. Это большая ошибка, поскольку безопасность «умного» дома определяется слабейшим звеном. История часто повторяется. В свое время мы видели развитие вредоносных программ для ПК и мобильных устройств. Мы ожидаем, что вредоносные программы для Интернета вещей также будут становиться все более продуманными и опасными.

Атаки на роутер

В каждом доме, имеющем доступ к сети, есть роутер, к которому подключаются все компьютеры, телефоны и IoT-устройства. Роутеры есть у каждого и играют очень важную роль, но в их отношении редко соблюдаются последние стандарты безопасности. Как правило, после установки роутера интернет-провайдером большинство людей никогда не меняет его настройки, если не сталкивается с перебоями в работе интернета.

Исследования Avast показывают, что 60 % пользователей по всему миру никогда не входит в учетную запись роутера или не обновляет его программное обеспечение, что делает его потенциально уязвимым для невероятно простых атак. Основная проблема заключается в том, что когда злоумышленник использует известную уязвимость или незащищенные учетные данные для аутентификации, он получает доступ не только к роутеру, но и ко всем устройствам, подключенным к его сети.

Роутеры оказались простыми и выгодными целями для растущей волны атак. Большое количество атак на маршрутизаторы проводится с помощью вариантов ботнетов, основанных на кодовой базе Mirai (которая была выпущена создателем вскоре после успешных атак в сентябре 2016 года). Однако существует множество других угроз, более сложных и не сулящих ничего хорошего для безопасности домашних сетей.

В 2018 году был замечен не только рост количества вредоносных программ, нацеленных на роутеры, характер атак также изменился. Обычно вредоносное ПО для роутеров захватывало устройство, чтобы провести DDoS-атаку (например, Mirai). Сегодня же вредоносные программы используются для заражения устройства и доступа к серверу управления и контроля (C&C), не предпринимая никаких действий немедленно.

Мы уже сталкивались с подобным в случае с VPNFilter и Torii. После заражения роутера эти вредоносные программы «прослушивают» сетевой трафик, сканируют сеть и подключенные к ней устройства и используют сервер C&C для отправки данных или инструкций на устройство. При этом вредоносная программа действует скорее как платформа, а не как вирус. Подобная «платформизация» вредоносных программ открывает множество возможностей, таких как использование модели «оплата по количеству установок» (PPI), услуга «DDoS на заказ» или даже привычный спам.

Последствия уязвимости роутера

Роутеры останутся мишенью для атак. Не только для запуска вредоносных сценариев или слежки за пользователями, но и для использования в качестве промежуточного звена в целой цепи атак. В случае с Mikrotik простая перенастройка роутера затронула всю внутреннюю сеть. Вредоносная программа доставила сборщики данных JavaScript на все браузеры, связанные с роутером.

Эта атака также обнажила тенденцию, которая может оказаться еще более тревожной, ведь роутеры есть не только у нас дома, они используются множеством малых поставщиков интернет-услуг. Зараженный роутер может заразить сотни и тысячи подключенных к нему устройств. А определить источник заражения в подобном случае будет крайне сложно.

Растущая модульность вредоносных программ для Интернета вещей

Вредоносное ПО для ПК на заре его существования было очень простым. Большинство вредоносных программ для Интернета вещей также создавалось для очень узких целей, таких как сбор ботнетов для проведения DDoS-атаки. Но вредоносные программы для Интернета вещей, как и компьютерное вредоносное ПО, будут развиваться и корректировать свои методы работы, переходя от «одноразовых» программ к «многоцелевым» вредоносным платформам, способным поддерживать организованные кампании PPI.

Незаметность после заражения вместо попыток сразу же извлечь выгоду из атаки имеет свои преимущества. Взяв под контроль большое количество устройств Интернета вещей, авторы вредоносных программ могут перенастроить своих ботов на выполнение нужных им задач (или наиболее выгодных для них).

Более сложные методы распространения

Ожидается, что все больше и больше вредоносных программ будет заражать устройства Интернета вещей через браузер. Атаки на персональные компьютеры и мобильные телефоны с использованием браузера (подделка HTTP-запросов) уже встречаются, но пока не очень распространены. В подобной ситуации пользователь посещает страницу с вредоносным скриптом Javascript, который сканирует локальную сеть пользователя, находит уязвимое устройство и заражает его. Этот способ может оказаться полезным при заражении устройства, которое нельзя обнаружить через Интернет, например устройства, защищенного преобразованием сетевых адресов (NAT).

Вредоносные программы для Интернета вещей в качестве прокси

Сегодня авторы вредоносных программ для Интернета вещей обычно зарабатывают за счет майнинга криптовалют или DDoS-атак на заказ, но это не самый прибыльный подход. Мы считаем, что все больше и больше создателей вредоносного ПО будет заражать более мощные и перспективные устройства, такие как мобильные телефоны, планшеты и ПК.

В качестве примера можно привести заражение роутера для внедрения JavaScript или любой другой вредоносной нагрузки в трафик, направляемый к пользователю. Вредоносные программы могут также работать по принципу прокси-сервера, чтобы устанавливать подключение и атаковать других пользователей в Интернете и их устройства. Используя цепочку зараженных устройств, не имеющих серьезных возможностей для ведения журналов, злоумышленники могут скрыть свое настоящее местоположение, как это делают прокси-серверы.

Вредоносные программы для Интернета вещей откажутся от поддержки архитектуры x86

x86 — одна из наиболее распространенных архитектур наборов команд с обратной совместимостью, используемая с тех пор, как компания Intel представила ее в конце 1970-х. Однако с появлением большего количества устройств, работающих на альтернативных платформах, было бы логично предположить, что авторы вредоносных программ перестанут включать поддержку архитектуры x86, чтобы сделать реконструирование более сложным для поставщиков систем безопасности. Существует множество песочниц для файлов в формате PE (переносимые исполняемые файлы) и x86 ELF (исполняемые и связываемые форматы), но большинство из них пытается обеспечить поддержку других архитектур.

Несмотря на опасения, высказанные в этом прогнозе, мы верим, что стремительное развитие Интернета вещей станет знаменательным этапом в нашей технологической эволюции. Но стоит сохранять бдительность и позаботиться о безопасности каждого своего нового устройства.

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter