Што ги прави IoT-уредите подложни на сајбер напади?
Интернетот на нештата (IoT) е новата граница за хакерите, кои можат да користат сè, од печатачи до веб-камери, уреди за контрола на климата и контроли за пристап до зградите за да предизвикаат хаос. Иако IoT-решенијата се клучни за работењето на многу организации, тие брзо можат да станат одговорност и ризик за безбедноста. Брзото усвојување на паметни решенија во речиси секоја индустрија го зголеми бројот на вектори за напад и ризикот од изложеност на напади на организациите.
Додека ИТ хардверот и софтверот станаа потешки за хакирање со текот на годините, безбедноста на IoT- уредите и оние за оперативна технологија (ОТ) заостанува. Актерите на заканите ја користат оваа ситуација за да воспостават пристап до мрежите и да овозможат странично движење, да воспостават основа во синџирот на снабдување или да ги попречат операциите на ОТ на целната организација.
Според неодамнешниот извештај за дигитална одбрана на Microsoft (Digital Defense Report), претпријатијата се свесни за тоа како IoT може да го подобри нивното работење, но не се сосема сигурни како правилно да го обезбедат.
Додека 68% од испитаниците веруваат дека усвојувањето на IoT/OT е клучно за нивната стратешка дигитална трансформација, 60% признаваат дека безбедноста на IoT/OT е еден од најмалку обезбедените аспекти на ИТ/ОТ инфраструктурата.
(Извештај за дигитална одбрана на Microsoft, 2022 г.)
Додека сите организации се борат со ранливостите на IoT и OT, критичната инфраструктура се соочува со зголемен ризик бидејќи актерите на заканите научија дека оневозможувањето на главните услуги е ефикасен начин да се предизвика штета. Примерот на уценувачки напад (рансомвер) на компанијата Colonial Pipeline во 2021 година докажа дека криминалците можат да ја попречат главната услуга за да ја зголемат веројатноста за исплата на откуп.
Понатаму, сајбер нападите на Русија против Украина се јасен пример дека одредени нации за исполнување на воените цели ги користат сајбер нападите врз критичната инфраструктура како легитимна опција.
Најзастапени напади на IoT
Сега, може да се запрашате – Како да знаеме дали одреден уред е изложен на ризик од напад?
Ако некој уред е изложен, секој може да го најде со пребарување услуги на интернет за кои се чекаат информации на отворени мрежни приклучоци. Овие приклучоци најчесто се користат за далечинско управување со уредите.
Ако IoT-уредот не е правилно обезбеден, тој може да се користи за влез од „задна страна“ во остатокот од вашата мрежа.
Како што известува Microsoft во својот официјален годишен извештај од 2022 година, нападите против обичните IoT- протоколи, како што е Telnet, значително се намалиле до 60%.
Сепак, сè уште има причини за загриженост.
Најчести IoT-напади се:
- 46% Далечинско управување
- 30% веб
- 18% Бази на податоци
- 4% е-пошта
- 1% Индустриски контролни системи
- 1% Друго
Она што е заедничко за сите ранливости на IoT е тоа што тие се многу тешки за идентификување.
Вообичаен ризик кој често се надгледува е хакирањето на фирмверот во синџирот на снабдување.
Ова значи дека огромен број уреди користат софтверски и хардверски компоненти од широк опсег на извори, вклучувајќи библиотеки со отворен код. Операторите на уредите обично немаат контрола врз хардверската и софтверската спецификација за да го проценат ризикот на кој е изложен синџирот на снабдување во уредите на нивната мрежа.
Видовме многу последици од ова низ годините. На пример, милиони IoT-уреди беа погодени во јуни 2020 година кога беа откриени ранливости во мрежниот стек што го користат многу различни производители.
Во некои случаи, оперативниот систем на уредот беше ребрендиран и немаше индикации дека производот е ранлив. Гледаме дека овој тренд прераснува во закана бидејќи целта на злонамерните актери се овие синџири на снабдување за да ги компромитираат организациите.
Mirai како најчест IoT-малициозен софтвер
Со текот на времето, Mirai стана толку софистициран што сега е многу ефикасен кога станува збор за напад на најразновидните IoT-уреди, како што се безбедносните камери или рутери. Ги заобиколува наследените безбедносни контроли и претставува ризик, затоа што користи дополнителни ранливости и странично движење во мрежата.
Тој еволуирал со текот на времето и е многу приспособлив на различни архитектури на процесорот и е во состојба да ги компромитира новите вектори за напад преку искористување на познати и нулта-ден ранливости.
Во последната година, преваленцата на Mirai подеднакво порасна меѓу 32- и 64-битни x86 процесори, обезбедувајќи им нови способности на државите и криминалните групи. Сега овие групи користат нови варијанти на постојните ботнет мрежи во нападите со дистрибуирано одбивање на услуги (DDoS) против странски противници.
Дали можеме нешто да направиме во врска со тоа?
Да.
Ова се функционални увиди препорачани од тимот на Microsoft:
- Прво и основно, редовно надградувајте ги уредите со примена на печови, менување на зададените лозинки и зададените SSH порти.
- Друг прилично едноставен чекор е да се исклучите од мрежите и да ги отворите портите кои се непотребни во моментот, да ги блокирате портите за да го ограничите далечинскиот пристап и доколку е применливо, да користите VPN.
- Користете IoT/OT-свесно NDR-решение за откривање уреди кои комуницираат со непознати домаќини и SIEM/SOAR-решение за следење на неправилни или неовластени однесувања.
- Дури и ако напаѓачот навлезе, сепак можете да спречите компромитирање на вашите средства со сегментирање на вашата мрежа и ограничување на неговата способност да се движи странично. Тука, добар совет е да се користат огнени ѕидови за да се изолираат корпоративните ИТ-мрежи од IoT-уредите и OT-мрежите.
- Не треба да ги оставате ICS-протоколите директно изложени на интернет.
Рутерите како лесни мети на напади од ботнет мрежи
Ботнет мрежите го направија таргетирањето на IoT-уредите многу помоќно, барем во однос на бројот на засегнати уреди и колку брзо може да се прошири нападот. Овој тип на напад обично може да се случи ако рутерот нема печови и е директно изложен на интернет.
На тој начин, сајбер напаѓачите можат да добијат пристап до мрежите, да извршуваат малициозни напади, па дури и да ги поддржат нивните операции. Особено ранливи вектори за напади се рутерите, бидејќи тие се многу распространети низ домовите и организациите поврзани на интернет.
Ќе ви претставиме една студија на случај на оваа тема, кога тројанецот Trickbot ги искористи зададените лозинки и ранливости во рутерите на MikroTik. Ова е пример за тоа како напаѓачите можат да ги злоупотребуваат ранливостите во фирмверот на IoT-уредите за да се инфилтрираат во мрежата и да ги заобиколат корпоративните одбранбени системи.
Како се прави тоа?
Ќе објасниме чекор по чекор.
- Напаѓачите добиваат акредитиви за IoT- уредите преку брутални напади, искористувајќи ги познатите ранливости со лесно достапни печови или со користење на зададени лозинки.
- По добивањето на акредитивите, тие го користат рутерот за да комуницираат со Trickbot-инфраструктурата.
- Кога ќе пристапат до уредот, тие можат да издаваат единствени команди и да го пренасочат сообраќајот помеѓу две порти во рутерот, воспоставувајќи линија на комуникација помеѓу уредите нападнати од Trickbot и C2.
Еве визуелен приказ за тоа:
Крипто криминалци кои ги злоупотребуваат IoT- уредите
Популарноста на криптовалутите опаѓа, исто како и склоноста кон Доказот за работа (PoW) или Доказот за удел (PoS). Сепак, и двете работи бараат пристојна сума на инвестиции, без разлика дали се работи за опрема или за крипто-средства.
Меѓутоа, со PoW, од рударите се бара да инвестираат во пресметковна моќ и мрежни ресурси (на пр. рутери) за да ја зголемат веројатноста за успех. Сепак, тоа е процес кој одзема многу време и ресурси, а веројатноста не е ни толку голема.
Значи, што смислија крипто-криминалците за да ги подобрат своите шанси за рударење парички?
Да ги злоупотребат рутерите за пренасочување на напорите за рударење криптовалути.
Сајбер-криминалците ги компромитираат рутерите поврзани со рударските пулови и го пренасочуваат рударскиот сообраќај до нивните поврзани IP адреси со напади на труење со кешот на DNS, што ги менува поставките за DNS на целните уреди. Засегнатите рутери регистрираат погрешна IP адреса на дадено име на домен, испраќајќи ги нивните ресурси за рударство (или хешови) до пулови што ги користат актерите на закана. Овие пулови може да рударат анонимни парички поврзани со криминални активности или да користат легитимни хашови генерирани од рударите за да добијат процент од паричките што ги изрудариле и на тој начин да ги соберат наградите.
Извештај за дигитална одбрана на Microsoft, 2022 година
Еве визуелен приказ за тоа:
Развој на политики за безбедност на IoT- уредите
За работите навистина да се променат, не е доволно поединци или поединечни организации да имплементираат безбедносни техники за заштита на IoT-уредите. Тоа треба да се направи на национално ниво, по консултација со експерти од областа.
Вакви иницијативи има низ целиот свет. Ќе наведеме неколку.
Европската комисија го предложи Законот за сајбер-отпорност (Cyber Resilience Act), според кој самостојниот софтвер и поврзаните уреди мора да бидат безбедни. На добавувачите на софтвер им се советува да го следат безбедниот животен циклус за развој на софтвер и да обезбедат софтверска спецификација заедно со нивните производи.
Обединетото Кралство подготви нацрт-закон за безбедност на производите и телекомуникациската инфраструктура (Product Security and Telecommunications Infrastructure Bill), кој на производителите им забранува да ги користат зададените лозинки што лесно се пробиваат на производи наменети за потрошувачите, како што се паметните телевизори. Нацрт-законот, исто така, ќе бара од компаниите да воспостават политики за откривање ранливости и да дадат детали за должината на периодот во кој ќе понудат безбедносни ажурирања.
Во ЕУ, новите безбедносни стандарди се имплементираат во форма на многу закони и делегиран акт на Директивата за радио опрема (Radio Equipment Directive), која се применува за безжични уреди, вклучувајќи паметни телефони и некои телевизори. Законот има за цел да ја заштити приватноста на потрошувачите и да го намали ризикот од монетарна измама.
Исто така, можеби ќе биде потребно да се користи шема за сертификација на облак, која моментално се развива како резултат на Законот за сајбер-безбедност на ЕУ од 2019 година (Cybersecurity Act).