Компания Avast, мировой лидер в области продуктов для онлайн-безопасности, развернула в России (в Москве и Хабаровске) и других странах мира* более 500 серверов-ловушек (Honeypots), выдающих себя за IoT-устройства, такие как стриминговые устройства, веб-камеры или роутеры, чтобы доказать большое количество потенциальных атак, с которыми сталкиваются устройства умного дома. Более 500 ловушек были просканированы потенциальными злоумышленниками 561 003 раз за два часа, а пять устройств, расположенных в России, были сканированы 5 370 раз за два часа. Honeypots-ловушки были расположены в России, Мексике, Франции, Германии, Южной Корее, Австралии, Великобритании, Австралии, Японии, Испании, Ирландии, Сингапуре, США и Индии.
При настройке ловушек исследователи Avast выбрали типичные подключенные устройства с открытыми портами, чтобы злоумышленники поверили, что подключаются к реальным роутерам, смарт-ТВ, веб-камерам или другим умным устройствам.
Цель ловушки — вычислить активность киберпреступников и изучить методы злоумышленников, которые полагают, что атакуют реальные устройства с реальными данными. Ловушки Avast были запрограммированы с открытыми портами, такими как TCP: 23 (протокол telnet), TCP: 22 (протокол ssh), TCP: 80 (протокол http), которые обычно находятся в подключенных к Интернету устройствах, таких как роутеры, камеры слежения и умные телевизоры.
Чаще всего сканировались три порта: порт 8088, который обычно встречается в стриминговых устройствах и умных колонках, и порты Telnet 22 и SSH 23, которые часто присутствуют в роутерах. Согласно исследованию Avast, стриминговые устройства входят в топ-5 самых уязвимых в доме и две трети роутеров в России имеют слабые учетные данные или уязвимости программного обеспечения.
«Большинство людей не придают большого значения уязвимостям домашних устройств — умных колонок, телевизоров или лампочек, — так как считают, что не могут стать целью киберпреступников. Мы уже видели сотни тысяч подключенных устройств, используемых как часть ботнета для DDoS-атак на популярные сайты и роутеры или для криптомайнинга», — сказал Михал Салат (Michal Salat), директор департамента анализа угроз Avast. — «Для многих, вероятно, не важно, используются ли их устройства для атак на других людей, однако они должны знать, что также могут стать целью хакеров. Злоумышленнику требуется всего одно взломанное устройство, чтобы взять под контроль всю домашнюю сеть. Собрав информацию о доме, злоумышленник может подвергнуть опасности как конфиденциальность данных владельцев, так и их физическую безопасность. Входной дверью для хакера может стать уязвимая кофеварка, чтобы затем шпионить за домочадцами с помощью умной колонки и камеры безопасности. Кроме того, подключенные устройства могут содержать GPS-данные, так что злоумышленник получит информацию о точном местонахождении устройства».
Судя по данным, три основных страны, из которых шли атаки, — это США, Нидерланды и Япония. Однако такие технологии, как виртуальные частные сети (VPN), сеть TOR или прокси-соединения через уже зараженное устройство, — это методы, часто используемые злоумышленниками для маскировки источника атаки.
* Honeypots-ловушки были активны с 18:00 до 20:00 вечера по московскому времени 25 сентября 2019.