Спустя почти год после появления ботнета Mirai интеллектуальные устройства по-прежнему сталкиваются с шквалом атак с использованием учетных данных, а устройство, оставленное подключенным к Интернету с учетными данными по умолчанию, будет взломано примерно через две минуты.
Это результат недавнего эксперимента, проведенного Йоханнесом Б. Ульрихом, членом Технологического института SANS. Ульрих купил систему цифрового видеорегистратора Anran и оставил ее подключенной к Интернету на два дня. Ульрих оставил устройство в состоянии по умолчанию, с портом Telnet, открытым для внешних подключений, и с сохраненными учетными данными по умолчанию (root / xc3511).
Исследователь записал все, что происходило на устройстве, и подключил видеорегистратор к дистанционно управляемой розетке, которая сбрасывала его каждые пять минут. Перезагрузка устройства была необходима, потому что это действие удалило все вредоносные программы от предыдущих заражений.
Результаты эксперимента: видеорегистратор угоняется каждые две минуты
Результаты показали, что 10 143 «пользователя» подключились к устройству с 1 254 различных IP-адресов в течение двухдневного эксперимента.
Устройство оставалось подключенным к сети на 45 часов 42 минуты, что означало, что примерно каждые две минуты кто-то подключался к устройству, используя учетные данные по умолчанию.
Ульрих проанализировал IP-адреса с помощью Shodan, и никого не удивил, большинство IP-адресов, с которых происходил вход, были прослежены до других устройств IoT от таких поставщиков, как TP-Link, AvTech, Synology и D-Link, которые обычно подозревают, когда это происходит. на ботнет приходит пушечное мясо.
Эти устройства, скорее всего, были заражены вредоносным ПО Интернета вещей. Mirai и большинство современных семейств вредоносных программ для Интернета вещей включают сканеры Telnet или SSH, которые выбирают случайные IP-адреса и пытаются войти в систему через Telnet или SSH со списком учетных данных по умолчанию.
Этот тип механизма самораспространения используется в течение многих лет, но стал очень популярным после крупномасштабных DDoS-атак, осуществленных с помощью вредоносного ПО Mirai. После того, как исходный код вредоносного ПО Mirai был опубликован в сети, сканеры Telnet и SSH стали почти распространенными.
Результаты аналогичны
В прошлом году, в разгар всех DDoS-атак на базе Miria, исследователи безопасности провели аналогичный тест, подключив IP-камеру безопасности с учетными данными по умолчанию. Вредоносные программы Интернета вещей взяли под контроль камеру в среднем за 98 секунд (1,5 минуты) .
Спустя почти год после этого эксперимента безопасность устройств Интернета вещей совсем не улучшилась, а сканеры вредоносных программ Интернета вещей стали такими же агрессивными, как и в прошлом году.
«Эта проблема не исчезнет в ближайшее время», – заключил Ульрихт. «Если люди еще не слышали об уязвимых DVR и паролях по умолчанию, то они тоже не будут читать эту статью».
Эксперимент Ульбрихта последовал за очередной проблемой безопасности Интернета вещей после того, как на прошлой неделе исследователи безопасности обнаружили список Pastebin, содержащий тысячи полностью работающих учетных данных Telnet.