Технологии
Алексей Никитченко

Не зли мой тостер: как «умный дом» притягивает киберпреступления и можно ли обезопасить себя от взлома

Хакеры легко обращают устройства для комфортной жизни в опасных ботов, пока владельцы едва ли знают о второй жизни девайсов.

Иллюстрация TJ 

С каждым годом к сети подключается всё больше «предметов»: «умных» кофеварок, лампочек, кондиционеров и другого. Переход от привычного «интернета людей» к интернету, наполненному «вещами», наметился ещё на пороге 2009 года, тогда как сегодня число девайсов кратно опередило количество жителей Земли.

За технологиями удобной жизни зачастую кроется опасность, ведь «умные» гаджеты содержат немало уязвимостей. Хакеры пользуются ими для создания масштабных ботнетов из порабощённых устройств. Это приводит к ежегодному росту силы киберпреступлений и угрожает безопасности самих владельцев, а порой и целых городов.

TJ поговорил с экспертами о зомбированных чайниках и удивительных вирусах «интернета вещей», а также описал, как обезопасить себя и технику.

Интернет «поумневших» вещей

В 1989 году на компьютерной выставке Interop два человека заключили необычное пари. Дэн Линч, организатор мероприятия, и Джон Ромки, один из пионеров интернета, поспорили, можно ли подключить к сети что-нибудь весёлое из вещей. В случае успеха Линч должен был в следующем году выдать Ромки главную награду Interop.

Спустя год тостер Sunbeam Deluxe Automatic Radiant Control удалённо жарил хлеб на глазах удивлённой публики. Ромки управлял питанием устройства благодаря TCP/IP — стандарту «общения» между компьютерами в сети, созданному при его активном участии. Но вместе с рождением первой «вещи в интернете» обозначилась и первая, но до сих пор актуальная проблема — будут ли в безопасности персональные данные.

Люди были удивлены, им это понравилось. Но конфиденциальность и безопасность занимали мои мысли. Кто может видеть ваш тостер онлайн, тот может и управлять вашим тостером онлайн, не так ли?

Джон Ромки о демонстрации 1990 года

В течение 1990-х интернет оставался местом «для людей». Самое понятие «интернета вещей» (IoT, Internet of Things) появилось только в 1999 году. Главным препятствием служили технологии доступа: чтобы подключиться, чаще всего требовался либо неуклюжий кабель, либо другие неудобные решения.

Так продолжалось вплоть до середины 2000-х, пока технологии, наконец, не шагнули вперёд, и интернет не начал наполняться «умными» гаджетами. На переход к «интернету вещей» повлиял прогресс в отрасли модулей радиосвязи, — они становились миниатюрнее, что позволяло уместить их в вещах и обеспечить доступ в сеть. К тому же дешевели микроконтроллеры для управления электронными устройствами.

Демонстрация первого «умного» тостера в 1990 году, фото Living Internet

Сегодня в интернете более 10 миллиардов вещей, и их количество продолжает неуклонно расти, даже несмотря на нехватку чипов. «[По своей сути] это мини-компьютеры, которые могут выполнять интернет-запросы» — объясняет TJ IT-специалист Сергей Крупник — «[Теперь] это могут быть роутеры, «умные» телевизоры, пылесосы, колонки с голосовым управлением, «умные» лампочки, розетки и так далее».

Правда, немалая часть «поумневших» гаджетов, особенно среди бюджетных моделей, представляет собой примитивную технику с элементарной прошивкой, позволяющей соединиться с интернетом. «Современные «умные» устройства [на массовом рынке] содержат множество уязвимостей на разных уровнях» — рассказывает TJ специалист по аппаратной безопасности Роман Коркикян. Но нередко даже продвинутые девайсы полны «дыр» от производителя.

Всё это играет на руку хакерам: большинство «умных» гаджетов несложно взломать, они имеют постоянный доступ к интернету, и за их безопасность мало кто переживает. Как правило, большинство людей знает о вирусах для компьютеров или телефонов, часто из неприятного опыта, но лишь немногие задумываются, что опасные трояны могут обитать в их домашних роутерах или «умных» кондиционерах.

Как «умная» техника оказывается в цифровом плену

Один из самых полезных инструментов изучения угроз в сфере кибербезопасности — это «горшочек с мёдом» (honeypot). Его можно сравнить с приманкой, а его единственная задача — подвергнуться хакерской атаке. Но в тоже время ловушка позволяет наблюдать за поведением мошенников без их ведома, фиксируя актуальные способы атак и другую полезную информацию.

Если сегодня включить ловушку с имитацией «умного» гаджета, к нему, скорее всего, попытаются подключиться всего несколько секунд спустя. Это будет не человек, а чужое устройство, которое хакер превратил в бота. Словно зомби, оно ищет повсюду технику и пытается заразить её вирусом. Ежемесячно такие боты, соединенные в масштабные сети, называемые ботнетами, проводят десятки миллионов атак по всему миру.

Примерно так выглядит атака ботов на приманку-имитацию «умной» техники, иллюстрация TJ

Благодаря «медовым ловушкам» виден и путь становления опасных ботов. Сперва особый сканер ботнета пытается отыскать посреди интернет-просторов IP-адрес какого-нибудь «умного» гаджета, чтобы к нему подключиться. Если это удаётся, «зомбированные» чайники или другая техника начинают брутфорсить (brute force — грубая сила, угадывать пароль перебором) пока ещё «здоровое» устройство, а иногда проникновение случается через заводские уязвимости.

Несмотря на примитивность, с помощью перебора ботнеты ежегодно захватывают миллионы девайсов. Чтобы взлом не затягивался, хакеры регулярно наполняют базы логинами и паролями к популярным «умным» гаджетам. Зачастую они даже доступны публично. Поскольку ни производители, ни владельцы, как правило, не спешат усложнять комбинации, проникновение значительно упрощается.

Впрочем, зачастую ботнетам не приходится без конца заниматься перебором, поскольку часть «умных» девайсов защищена совсем элементарно. Например, изучив более 17 миллионов атак за год, исследователи обнаружили, что как минимум в одном миллионе случаев боты сперва вводили логин-пароль «admin-1234».

Когда ботнету удаётся взломать очередной гаджет, в него загружается троян и техника переходит под контроль хакера. Следом ещё недавно захваченные устройства подключаются к новым взломам, с каждым разом всё увеличивая силу своих атак. «Это самый универсальный способ. Примерно одинаково у всех. Не нужно копаться в прошивке и протоколах. Залогинился, запустил баш скрипт и готово» — комментирует Алексей Шалпегин.

Некоторые вирусы ищут жертву хитрее: вместо очередных попыток сканирования интернета они лазят внутри недавно заражённой системы, пытаясь отыскать сведения о ранее подключавшихся гаджетах, а после брутфорсят их. Так троян может расползаться на другую технику внутри одного помещения.

Гаджеты внутри одной комнаты могут заражать друг друга, иллюстрация TJ

Иногда те, кто обнаруживает на личном honeypot очередной зомби-гаджет, проявляют инициативу и пытаются вызволить его из ботнета. Для этого они брутфорсят самого бота, и, если это удаётся, пытаются очистить систему от вредоносной программы или связаться с владельцем, чтобы рассказать о второй жизни устройства.

Однажды под «властью ботнета» оказался «умный» дом, обнаруженный специалистом по кибербезопасности Дмитрием Воропаевым. В комментариях на «Хабре» предложили «им там светом помигать, морзянкой», но документации для «управления этой штукой через терминал» не нашлось. Под постом Дмитрия делились и другим опытом.

Я несколько раз печатал сообщение с советами про смену пароля/конфигурации на принтер, который смотрит в сеть. Даже точные инструкции и ссылки дал. Стоит ли говорить, что принтер до сих пор открыт? К сожалению, не все знают, как, или даже не понимают, зачем.

пользователь «Хабра» nochkin в ответ на пост об «умном» доме и ботнете

Дмитрий рассказал TJ, что написал код для обратного взлома заражённых девайсов, чтобы исследовать ботнеты внутри. «Думаю вернуться к работе над ним, чтобы избавиться от существующих багов», — рассуждает он. «Из того, что [ещё] попадалось, — в основном маршрутизаторы и виртуальные серверы. Также попадались Raspberry Pi и подобные одноплатники, несколько видеорегистраторов, сервер с GIT-репозиторием какой-то игры на Android», — вспоминает специалист.

Как-то раз Воропаев связался с владельцем сервера, попавшего в ботнет. Вместо благодарности иностранец назвал это «несанкционированным доступом» и заявил, что «обязан уведомить об этом Compliance Department (отдел контроля — прим. TJ)». «Такой альтруизм может оказаться не очень благодарной работой» — заключает Дмитрий.

Кто и зачем управляет ботнетами из «умных» вещей

Численность зомбированных гаджетов в ботнетах сильно разнится. В одних не больше сотни девайсов, а создатели стараются не привлекать внимание лишний раз. Другие, наоборот, так масштабны, что количество устройств в них исчисляется миллионами — и это вызывает интерес спецслужб. А за любыми ботнетами в конечном счёте стоят хакеры, которых принято называть ботнет-мастерами.

Ботнет-мастера управляют заражёнными гаджетами, исходя из назначения при очередном киберпреступлении. Для этого используют различные командные центры, откуда «приказ» рассылается каждому боту. Порой схема подводит теневых хозяев: когда центр управления един, его потеря парализует весь ботнет.

Более живучие ботнеты, если у них не выходит связаться со своим хозяином по-старому, без труда переключаются на новый адрес центра «команд», создавая его особым алгоритмом.

Некоторые ботнет-мастера идут дальше и используют изощрённую схему управления, называемую P2P (peer-to-peer — равный к равному). Как в подпольной ячейке, боты знают лишь некоторых из «своих», а приказ хакера передаётся от одного заражённого гаджета к другому «из рук в руки»: так в случае разоблачения кого-либо вся группа и командный центр остаются невредимыми.

Хакеры-ботоводы, владеющие сетями зомбированной «умной» техники, чаще всего используют их для DDoS-атак, предлагая ресурсы в аренду на подпольных форумах или вымогая деньги самостоятельно. Несколько реже они устанавливают майнеры или создают анонимайзеры (для скрытия настоящего IP-адреса).

«Помимо DDoS и майнинга, ботнеты применяются для скликивания рекламы конкурентов: показы идут, деньги за показы списываются, реальные люди рекламу не видят, а конкуренты тратят деньги на показ рекламы впустую» — отмечает Воропаев.

Иногда ботнет-мастера и вовсе не стремятся к заработку денег, вместо этого увлекаясь киберхулиганством или хактивизмом.

«Вы можете просто смотреть фильм и не знать, что ваш телевизор в это же время помогает атаковать какой-нибудь сайт с вашего домашнего IP-адреса», — приводит пример Крупник. «Обычно сервера имеют ограниченную мощность. Например, „Википедия“ выдерживает от 30k до 70k RPS [запросов в секунду]. Если атаковать её ботнетом из 100k устройств, то мощности серверов не хватит и некоторые настоящие пользователи не смогут получить доступ. [В результате DDoS-атаки] доступность нарушится», — объясняет IT-специалист.

Если бы атака проводилась с небольшой группы серверов, то их можно было бы забанить по IP. Вот тут злоумышленникам и пригождается ботнет. Сеть из устройств, которые распределены по домам и офисам обычных людей, практически невозможно отличить от настоящих пользователей.

Сергей Крупник, IT-специалист из Москвы

Хакеры предлагают услуги DDoS-атак на специальных сайтах и форумах, где порой указывают подробные тарифные планы, акции и бонусы. Там же ботнеты из «умных» гаджетов пользуются спросом: стоимость DDoS на их основе ниже. Впрочем, «бизнес» окупается при любой цене. Во-первых, владельцы интернет-ресурсов зачастую несут потери серьёзнее, чем средняя стоимость откупа. Во-вторых, порой хакеры получают деньги, лишь пригрозив начать атаку.

Один из тарифных планов DDoS-атак на нелегальном ресурсе, изображение «Лаборатории Касперского»

Пока хакеры обменивают услуги на деньги, внутри уязвимых гаджетов не перестаёт кипеть особая цифровая жизнь. Ботнеты попеременно выкидывают друг друга из техники, часть из них погибает от диковинных ботнетов-альтруистов, воюющих подряд со всеми ради спасения девайсов. Ботнеты-майнеры стараются незаметно заработать, а другие просто атакуют цели хакера.

Заработать на Minecraft: как три студента создали «чуму» для «интернета вещей»

В 2016 году друзья по Рутгерскому университету в США, 21-летний Парас Джа, 20-летний Джозайя Уайт и 21-летний Далтон Норман, придумали кибероружие. Они любили играть в Minecraft и зарабатывали на собственных серверах, но обилие конкурентов им досаждало. Тогда они подумали, что если «положить» чужие сервера DDoS-атаками, то можно и заработать вымогательством, и переманить игроков к себе.

Для этого они создали сеть из ботов на основе «умных» устройств. Вирус назвали в честь аниме-сериала «Мирай Никки» — Mirai, а обязанности поделили, назначив Джа ответственным за коммуникации на хакерских форумах и написание основного кода, Уайта — за управление и создание сканера для поиска девайсов, а Нормана — за поиск и внедрение уязвимостей.

21-летний Парас Джа (слева) после суда в штате Нью-Джерси. Фото Reuters

В первые несколько дней вирус захватил контроль над сотнями тысяч гаджетов. Такая скорость удивила даже создателей. По мере приближения счёта ботов к миллиону компания друзей попробовала «вырубить» хостинг-провайдер OVH, занимавшийся среди прочего защитой Minecraft-серверов. Если раньше крупные атаки достигали значений 20-50 Гбит/с, то Mirai на пике достиг 901 Гбит/с.

История с OVH воодушевила студентов. Вскоре они «положили» веб-сайт исследователя кибербезопасности Брайана Кребса, а заодно и сервер Ратгерского университета. Как позже объяснял Парас Джа, он хотел отсрочить экзамены и помешать другим студентам занять все места на интересных ему курсах. Масштабными и успешными DDoS-атаками заинтересовались в ФБР.

Тогда компания занервничала и опубликовала код вируса на одном из форумов. Студенты размышляли так: если ФБР найдёт Mirai на их компьютерах, приписать им авторство будет сложно, ведь программа общедоступна.

Этот шаг привёл к пандемии «интернета вещей»: другие хакеры скачивали мощный вирус и своими действиями лишь привлекали больше внимания властей. Уже в конце 2016 года, на фоне президентских выборов в США, хакеры «вырубили» DNS-провайдера Dyn, из-за чего «упали» Amazon, Twitter, Airbnb, HBO, Netflix, CNN, New York Times, PlayStation Network, Xbox Live и сайты многих других крупных сервисов.

Троицу в итоге раскрыли, а к концу 2017 года поймали. Студенты не только признали вину, но и стали активно сотрудничать с властями, помогая расследовать другие киберпреступления. Несмотря на тяжесть обвинения, создателей Mirai «простили» за помощь следствию: каждого приговорили к пяти годам испытательного срока, 2500 часам исправительных работ и добровольной выдаче «значительного количества» криптовалюты.

Позже для Параса Джа добавили ещё одно обвинение в атаках на Ратгерский университет. Кроме полугода домашнего ареста, его обязали выплатить 8,6 миллиона долларов компенсации.

Поимка студентов ничего не изменила для их детища. Вирус Mirai оказался настолько удобной и мощной базой для создания других ботнетов, что появился тренд на его «прокачивание». Сначала один хакер добавлял свой модуль, например, кусочек кода для убийства других вирусов внутри одного «умного» гаджета, а затем другой добавлял ещё что-то новое.

Участок кода Mirai для уничтожение зловреда-конкурента Anime. Изображение Trend Mirco

И без того опасный вирус для DDoS-атак на Minecraft-серверы силами хакерского коммьюнити превратился в массовое кибероружие. По данным специалистов, даже спустя шесть лет Mirai остаётся «зловредом» номер один для мира «умной» техники, а на основе частей его кода действует множество других IoT-вирусов.

Когда собеседник TJ Дмитрий Воропаев обнаружил станцию «умного» дома во власти ботнета, он исследовал гаджет на вирусы и нашёл внутри устройства именно Mirai.

Произошло то, что рано или поздно должно было произойти. Пользователи не заморачивались по вопросам безопасности, и в какой-то момент незащищённых устройств в сети стало достаточно много, чтобы ботнеты могли эффективно распространяться и выполнять свои задачи.

Дмитрий Воропаев, специалист по кибербезопасности

Ботнеты-целители на тропе войны

В цифровой жизни ботнетов есть и другие игроки — они стремятся к власти над гаджетами не для киберпреступлений. Их создали неизвестные авторы для тихой и благородной войны с другими вирусами внутри заражённых девайсов. Уничтожив других, они погибают сами, исполняя альтруистическую миссию.

Не все хакеры довольны стремительным развитием IoT-ботнетов и вируса Mirai. Поскольку ни производители, ни владельцы «умных» девайсов не боролись с новой проблемой «интернета вещей», часть хакеров открыла свой «фронт». Они решили, что лучшим инструментом противостояния послужат такие же вирусы, выпущенные в сеть, но их целью станут другие «зловреды».

Одним из первых известных вирусов-альтруистов от энтузиастов-хакеров стал Linux.Wifatch. В 2014 году его на собственном роутере обнаружил исследователь кибербезопасности под ником Loot Myself. Вирус проверял его устройства на другие «зловреды» и уязвимости, а при обнаружении — что стало неожиданностью — всё исправлял, порой даже сообщая о проблемах владельцу техники с рекомендациями по устранению.

Не считая полученного нами учебного опыта, Linux.Wifatch это полностью альтруистический проект, мы не планировали осуществлять с его помощью никаких вредоносных действий.

хакеры из The White Team в комментарии к проекту Linux.Wifatch

Некоторые хакеры создавали ботнеты-альтруисты и на основе Mirai — как в случае Fbot, обнаруженном в 2018 году. Чтобы «насолить» майнерам криптовалюты, создатели Fbot оснастили вирус средствами поиска и удаления с заражённой «умной» техники майнера ADB.Miner. Как и в случае Linux.Wifatch, вирус-альтруист самоуничтожался после выполнения миссии.

Фрагмент кода Fbot для уничтожения майнера, иллюстрация Qihoo 360 Netlab

Не все хакеры-альтруисты действовали мягко. Некоторые не разделили осторожный подход в борьбе с масштабными ботнетами и перешли к более радикальным мерам по принципу «всё или ничего».

Сначала вирус-альтруист BrickerBot действовал как Mirai или другие похожие «зловреды»: брутфорсил логин-пароль к «умному» девайсу для проникновения в систему. Если это удавалось, вместо попыток очистить девайс от «зловредов» BrickerBot стремился избавить хозяина от девайса. Вирус-альтруист «окирпичивал» гаджет, чтобы тот не достался никому, а владелец устройства получил жестокий урок. Для этого BrickerBot портил данные в памяти, наносил вред процессору и навсегда выключал технику.

Впрочем, ботнеты-альтруисты при всём их разнообразии окончательно не решили проблему безопасности «интернета вещей». Пока производители в основном бездействуют, за приватностью приходится следить владельцам техники.

Как обезопасить «умную» технику

Многие производители стремятся выпустить технику на рынок максимально быстро, оставляя кибербезопасность на втором плане или на совести потенциального покупателя. Но владельцы редко соблюдают даже самые скромные рекомендации, что вместе с уязвимостями недорогих устройств приводит к ботнетам.

[Многочисленные уязвимости бюджетных устройств] — это безответственность производителя в погоне за быстрой прибылью. [Они порой] не заботятся о простейшей безопасности.

Алексей Шалпегин, специалист по кибербезопасности IoT, Security R&D

Уязвимостей много, так как скорость выхода устройств на рынок должна быть очень быстрой. О безопасности начинают заботиться только когда продукт становится массовым.

Роман Коркикян, специалист по аппаратной безопасности

Множество заражённых «умных» гаджетов находится в небогатых странах, где люди куда активнее покупают недорогую «умную» технику с различными уязвимостями. Россия считается одной из стран-лидеров по неуклонному росту числа ботов.

Чтобы владельцам «умных» девайсов избежать проблем, эксперты поделились с TJ советами по защите техники.

Очень большое число устройств поставляется со стандартными паролями. Затем клиенты часто оставляют как есть — не меняют пароль. Причём не только частные пользователи, но и крупные организации. Чего только стоит история про тысячи устройств РЖД.

Сергей Крупник, IT-специалист из Москвы

1. Закрывать доступ ко всем точкам входа из внешней сети;
2. Устанавливать сложные пароли доступа (в случае с домашними роутерами ставить сложный пароль не только на Wi-Fi, но и на учетную запись администратора);
3. Не использовать устройства, где нельзя соблюсти пункты 1-2.

Дмитрий Воропаев, специалист по кибербезопасности

Другие специалисты также советуют:

  • Заодно со сменой паролей от производителя на роутере сменить и название сети;
  • Wi-Fi должен иметь надёжное шифрование. Например, WEP легко взломать, и он мало чем отличается от открытой сети, тогда как WPA2 поможет улучшить безопасность;
  • Лучше не управлять «умной» техникой, сидя через общественный Wi-Fi;
  • Для гостей можно сделать гостевую сеть Wi-Fi, изолированную от главной. К ней же можно подключить и «умные» устройства, чтобы в случае взлома основной сети они остались в безопасности;

Важно проверять актуальную прошивку для «умных» устройств, поскольку часто производители находят уязвимости в продуктах уже после старта продаж и подготавливают соответствующие обновления. Если не загрузить их, брешь в безопасности никуда не денется, чем могут воспользоваться злоумышленники.

Не менее важно придерживаться и общих правил кибербезопасности.

Важно соблюдать цифровую гигиену на ПК и смартфоне. Если скачать вирус, он из внутренней сети вполне может добраться и до «умного» дома. Как обычно, не стоит лазить по подозрительным сайтам, не запускать левый софт.

Алексей Шалпегин, специалист по кибербезопасности IoT, Security R&D

Специалисты в разговоре с TJ сходятся во мнении, что при выборе «умной» техники следует изучать, не находили ли в ней уязвимости. «[Советую] избегать откровенного нонейм с AliExpress и поставить хороший роутер от известного производителя, он почти наверняка защитит инфраструктуру от атак извне» — заключает Алексей Шалпегин.

Материал написан за счёт донатов пользователей. Мы распределяем полученные деньги в пользу авторов.

#вирусы #гаджеты #личныйопыт #лонгриды #лигаавторов