Истина где-то ниже
Октябрь 27, 2018

Эксперты изучили особенности брутфорса IoT-устройств

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Аналитики Arbor Networks изучили поведение IoT-ботнетов, прощупывающих Интернет в поисках уязвимых устройств. За два года, которые прошли после первых атак Mirai, зловреды существенно нарастили базу брутфорса и научились подстраивать атаки под особенности различных регионов мира.

Публикация исходного кода Mirai в октябре 2016 года существенно снизила порог необходимых для создания IoT-ботнетов технических навыков. Эксперты регулярно сообщают о новых зловредах, которые поражают все большее количество устройств. В 2017 году это были IOtroop и Satori, за которыми последовали Wicked, Hide’n’Seek и Torii.

Все они использовали код родительского ботнета и зашитую в нем базу учетных данных. Со временем злоумышленники стали добавлять новые пароли, пытаясь охватить максимальное количество устройств и обойти конкурентов. Исследователи изучают попытки брутфорса, чтобы определять особенности вредоносной активности и работать над мерами противодействия.

Эксперты используют так называемые ханипоты — специально созданные уязвимые хосты, привлекающие к себе зловредов. В исследовании Arbor Networks такие ловушки были распределены по Северной и Южной Америке, Европе и Азии. Всего за один месяц аналитики смогли собрать информацию о 200 тыс. атак.

Исследование показало, что у современных IoT-зловредов база брутфорса почти в 20 раз превышает список, который использовал Mirai. Эксперты насчитали 1065 уникальных пар логинов и паролей, в то время как в атаках 2016 года эта цифра не превышала 60.

Тем не менее учетные данные из исходников первого IoT-ботнета по-прежнему встречаются чаще всего. Более того, пароли к моделям видеокамер, которые в 2016 году составили основу Mirai, и сейчас занимают третью и четвертую строчку по количеству попыток взлома:

  1. admin/admin
  2. guest/12345
  3. root/vizxv
  4. root/xc3511
  5. support/support
  6. root/default

Географически инциденты распределились по 129 странам. Зловреды учитывают существующие в каждом регионе особенности. Например, в России большинство попыток взлома направлено на портативные роутеры TM02 TripMate и IP-камеры Vstarcam. В Иране одна из популярных пар логина и пароля представляет собой ругательство на английском языке.

«Изучая поведение IoT-ботнетов, мы можем понять, какую методологию используют их операторы и как они выбирают цели, — рассуждают эксперты. — Анализ глобальных и региональных особенностей [атак на устройства Интернета вещей] показывает нам, что [эта] экосистема невероятно уязвима перед злоупотреблениями».

Ранее власти Калифорнии на законодательном уровне запретили использование одинаковых паролей на интернет-устройствах. Начиная с 2020 года, вся техника в магазинах штата должна иметь уникальный код доступа или требовать от пользователя обновить учетные данные при первом включении. Эти меры призваны затруднить подбор паролей к IoT-технике и сократить количество атак в этой сфере.

Источник: https://threatpost.ru/experts-studied-iot-bruteforce-technics/28905/