09 ноября 2017
Новый ботнет захватывает IoT-устройства по всем миру
В середине октября специалисты Сheck Point обнаружили новый ботнет, состоящий из различных IoT-устройств. Изначально размер ботнета, получившего имя Reaper, оценивался в районе 1 млн устройств. Однако после его детального изучения исследователи из Arbor Networks установили, что в состав ботнета входит порядка 10-20 тыс. зараженных устройств, и их количество может значительно вырасти: еще 2 млн были найдены сканерами злоумышленников как потенциальные боты, которые пока не включены в состав ботнета.
Для получения контроля над устройствами и расширения своей инфраструктуры новый ботнет использует эксплойты для уязвимостей в IoT-устройствах компаний D-Link, Netgear, Linksys, AVTech, Vacron, JAWS, GoAhead и др. Среди зараженных устройств – беспроводные IP-камеры, маршрутизаторы, Wi-Fi-роутеры, системы видеонаблюдения, сетевые накопители и Linux-серверы. Некоторые из производителей уже выпустили обновления безопасности, однако не все пользователи их установили. Поэтому многие устройства пока остаются под угрозой.
Пока ботнет не проявляет никакой деструктивной активности (вроде рассылки спама или DDoS-атак), однако его опасный потенциал оценивается выше, чем у прошлогоднего Mirai. Ботнет способен устраивать SYN-, ACK- и HTTP-флуд, атаки с отражением или усилением через DNS и другие виды DDoS.
Исследователи Qihoo 360 Netlab установили, что при создании вредоносного ПО ботнета Reaper была заимствована часть исходного кода Mirai. Однако в отличие от Mirai новый ботнет развивается и заражает новые IoT-устройства гораздо быстрее. При этом его метод сканирования не столь агрессивный, что позволяет ботнету оставаться незамеченным.
Имеющиеся данные указывают на то, что новый зловред затронул уязвимые устройства по всему миру. Наибольшее количество инфицированных Reaper устройств зафиксировано в Китае, Италии и Сингапуре.
По мнению экспертов Kaspersky Lab ICS CERT, среди зараженных новым зловредом могут быть устройства, используемые на промышленных предприятия, в больницах, на вокзалах, в аэропортах и проч. В первую очередь в группу риска попадают организации, использующие системы IP-видеонаблюдения. И хотя новый ботнет не затрагивает системы промышленной автоматизации, последствия его возможных атак могут быть весьма существенными.
Чтобы обезопасить устройства компании от заражения зловредом Reaper рекомендуем:
- проверить используется ли в компании оборудование из списка уязвимых устройств^
- роутеры Dlink 850L, DIR-600, DIR-800;
- беспроводные IP-камеры WIFICAM;
- CCTV-камеры JAWS;
- роутеры Netgear DGN1000, DGN2200 и сетевые накопители ReadyNAS;
- сетевые видеорегистраторы Vacron;
- роутеры Linksys E1500/E2500;
- IP-камеры и видеорегистраторы AVTECH.
- установить на уязвимые устройства все актуальные патчи;
- исключить использование уязвимых устройств в промышленной сети;
- отделить сеть АСУ ТП от сети видеонаблюдения.
Обнаружение еще одного IoT-ботнета вновь доказывает актуальность проблемы безопасности Интернета вещей. И с учетом стремительного развития индустриального (промышленного) интернета вещей (Industrial Internet of Things, IIoT) вполне вероятно, что в скором времени возникнут ботнеты, построенные на устройствах промышленных систем управления технологическими процессами.
Источники: Cheсk Point, Arbor Networks, Qihoo 360 Netlab