Устройства «Интернета вещей» (IoT) приобретают у киберпреступников все большую популярность в качестве инструментов для осуществления DDoS-атак. В руках хакеров ботнеты из «умных» чайников, холодильников, камер видеонаблюдения и видеорегистраторов становятся мощным оружием.
В посвященном киберугрозам новом дайджесте компании Verizon описан случай, когда системы неназванного университета были атакованы собственными торговыми автоматами, смарт-лампочками и другими IoT-устройствами. Инцидент был обнаружен после того, как студенты университета стали испытывать проблемы с доступом к интернету. Работник IT-отдела заподозрил неладное, обнаружив неожиданный всплеск числа запросов к сайтам, посвященным морепродуктам. DNS-сервер не справлялся с большим объемом трафика, и в результате возникли проблемы с доступом к Сети.
Администрация учебного заведения обратилась за помощью к команде Verizon RISK. Эксперты проанализировали логи DNS и межсетевых экранов и обнаружили, что установленные в университете и кампусе IoT-устройства были взломаны и каждые 15 минут отправляли DNS-запросы, связанные с морепродуктами.
Подключенные устройства были заражены вредоносным ПО и являлись частью ботнета. Поскольку в них использовались слабые пароли, взломать их не составило труда. Когда с помощью брутфорса нужный пароль был подобран, вредонос получал полный контроль над зараженной системой. ПО подключалось к своему C&C-серверу и получало от него обновления и новые пароли, в результате чего IT-отдел университета лишился контроля над 5 тыс. устройств.
Просто заменить инфицированные торговые автоматы и лампочки новыми было бы неэффективно, посчитали эксперты Verizon RISK, поскольку из-за ненадежных паролей они снова были бы взломаны. С помощью анализатора трафика исследователям удалось извлечь полученные вредоносом новые пароли для зараженных устройств. Эксперты написали скрипт, позволивший обновить пароли на инфицированных системах и удалить вредоносное ПО.
