Desiatky tisíc internetových zariadení po celom svete, od webových kamier, cez routre až po digitálne video rekordéry, boli v ostatných týždňoch infikované novým typom malvéru nazývaným Reaper, alebo alternatívne IoT Troop.
Foto: Flowmon
Vlani na jeseň stál obdobný typ škodlivého kódu Mirai za rozsiahlymi výpadkami internetových služieb v USA aj v Európe. „Reaper je významným evolučným krokom vo vývoji škodlivých kódov, ktoré napádajú internetové zariadenia a umožňujú ich zneužívať,“ upozorňuje Roman Čupka z firmy Flowmon Networks zameranej na monitoring sietí a detekciu sieťových anomálií.
Na rozdiel od predchodcov ako bol Mirai, ktorí sa do internetových routerov a IP kamier dostával cez slabé alebo prednastavené heslá, je Reaper sofistikovanejší a pri rozširovaní využíva pokročilé hackerské techniky. Do zariadení značiek ako sú Linksys, D-Link, TP-Link, Netgear, AVTech či GoAhead, ktoré bežne používajú firmy aj na Slovensku, sa dostáva zneužitím známych chýb a zraniteľností firmvéru.
Stvoritelia Reapera sa týmto spôsobom pokúšajú ovládnuť armádu zariadení označovanú ako botnet. Ich motívy zatiaľ nie sú známe, rýchly nárast počtu kompromitovaných zariadení, ako aj skutočnosť, že škodlivý kód neustále modifikujú, však môžu byť predzvesťou rozsiahleho útoku. „Môže ísť pokojne o vyvolanie globálnych výpadkov internetu, útok na internetovú infraštruktúru niektorej krajiny, alebo na vybrané firmy či odvetvia,“ uvažuje R. Čupka.
Podľa neho by sa infikované zariadenia dali zneužiť nielen na zahltenie a odstavenie vybraných webových služieb, znefunkčnenie internetových pripojení, ale aj na pokus o preťaženie elektrickej siete, a to v prípade, že by sa kód pokúsil o súčasné spustenie obrovského množstva elektrických zariadení. Napríklad cez termostat ovládnutý na diaľku môžu útočníci spustiť klimatizácie alebo kúrenie a spôsobiť tak preťaženie a kolaps elektrickej siete.
Reaper je len jedna z celého radu tohtoročných vážnych hrozieb, ktoré pripomínajú nevyhnutnosť lepšie zabezpečiť siete firiem a verejnej správy. „Do internetu bude onedlho pripojené doslova všetko a pri slabej ochrane zariadení a sietí sa potenciál útočníkov znásobí,“ upozorňuje R. Čupka.
Firmy a verejná správa by podľa neho mali zvýšiť ochranu riadiacich systémov, ktoré stoja napríklad aj za procesmi v energetike, vodárenstve či verejnej doprave. Tieto tradične izolované systémy sa dnes prepájajú s vonkajším svetom, aby mohli napríklad zbierať dáta zo vzdialených senzorov a umožnili zariadenia ovládať na diaľku. Nové komunikačné toky ich však vystavujú aj novým rizikám.
Spoločnosť Flowmon prišla v súvislosti s rastúcimi hrozbami takzvaného internetu vecí (IoT) s univerzálnym, sieťovom založeným prístupom k bezpečnosti riadiacich a kontrolných systémov. Riešenie založené na pokročilých analýzach tokov dát a strojovom učení, je de facto senzorom podozrivého a neautorizovaného správania. Poskytuje detailný náhľad do správania siete, pomáha odhaľovať anomálie, útoky a upozorňuje na narušenia stanovených pravidiel. Navyše, umožňuje detegovať aj malé objemy podozrivej komunikácie typickej pre IoT prostredia, ako sú práve botnety, neautorizované internetové pripojenia, alebo prichádzajúce či odchádzajúce útoky.
Zdroj: Flowmon