Šta čini IoT uređaje podložnim sajber napadima?
Internet inteligentnih uređaja (Internet of Things – IoT) predstavlja novu granicu za hakere, koji mogu da koriste sve od štampača do web kamera, klima uređaja i kontroli pristupa zgradama kako bi izazvali haos. Iako su IoT rešenja od velike važnosti za rad mnogih organizacija, mogu se lako pretvoriti u slabu tačku i bezbednosni rizik. Ubrzano usvajanje pametnih rešenja u skoro svakom industrijskom segmentu povećao je broj vektora napada i rizik izloženosti organizacija.
Dok kompjuterski hardver i softver vremenom postaju sve komplikovaniji za hakovanje, bezbednost interneta inteligentnih uređaja (IoT) i uređaja operacione tehnologije (OT) zaostaju za njima. Hakeri koriste ovu situaciju kako bi uspostavili pristup mrežama i omogućili lateralno kretanje, uporište u lancu snabdevanja, ili kako bi omeli rad OT-a ciljane organizacije. Dok kompjuterski hardver i softver vremenom postaju sve komplikovaniji za hakovanje, bezbednost interneta inteligentnih uređaja (IoT) i uređaja operacione tehnologije (OT) zaostaju za njima. Hakeri koriste ovu situaciju kako bi uspostavili pristup mrežama i omogućili lateralno kretanje, uporište u lancu snabdevanja, ili kako bi omeli rad OT-a ciljane organizacije.
Prema skorašnjem izveštaju Microsoft digitalne odbrane (Microsoft Digital Defense), preduzeća su svesna kako IoT može unaprediti njihovo poslovanje, ali nisu baš sigurna kako da ih i pravilno obezbede.
Dok 68% ispitanika veruje da je usvajanje IoT/OT od suštinske važnosti za njihovu stratešku digitalnu transformaciju, 60% prepoznaje da je bezbednost IoT/OT jedan od najnesigurnijih aspekata infrastrukture IoT/OT.
Microsoft Digital Defense Report, 2022
Dok se sve organizacije bore sa ranjivošću IoT-a i OT-a, kritična infrastruktura suočava se sa povećanim rizikom jer su potencijalni hakeri shvatili da je onemogućavanje važnih servisa efikasan način za izazivanje štete. Primer ransomware napada na kompaniju Colonial Pipeline 2021. godine dokazao je da su kriminalci sposobni da poremete servise od izuzetne važnosti kako bi povećali šansu za plaćanje otkupa.
Dalje, sajber napadi Rusije na Ukrajinu su čist primer da određene nacije, kao način ispunjavanja vojnih ciljeva, smatraju sajber napade na bitnu infrastrukturu legitimnom opcijom.
Najzastupljeniji IoT napadi
Možda se pitate kako neko može znati da li mu je uređaj izložen napadima.
Ukoliko jeste, svako ga može pronaći pretragom servisa na otvorenim mrežnim portovima na internetu. Ti portovi se obično koriste za upravljanje uređajima na daljinu.
Ukoliko IoT nije pravilno obezbeđen, može se iskoristiti kao skriveni ulaz u ostatak vaše mreže.
Kako Microsoft navodi u svom zvaničnom godišnjem izveštaju iz 2022. godine, napadi na obične IoT protokole kao što je Telnet su znatno opali, do čak 60%.
Međutim, još uvek ima razloga za brigu.
Najčešći IoT napadi su na:
- 46% Upravljanje na daljinu
- 30% Internet (Web)
- 18% Baze podataka
- 4% Email
- 1% Industrijski kontrolni sistemi
- 1% Razno
Ono što je zajedničko za sve IoT ranjivosti je to da ih je jako teško odrediti i pronaći.
Učestali rizik koji se često previdi je firmware hakovanje unutar lanca snabdevanja.
Pod tim se misli na to da veliki broj uređaja koriste hardverske i softverske komponente iz većeg broja izvora, uključujući i biblioteke otvorenog koda. Korisnici uređaja obično nemaju kontrolu nad strukturom hardvera i softvera kako bi procenili rizik lanca snabdevanja uređaja na njihovoj mreži.
Kako vreme prolazi, mnoge posledice ovoga postale su vidljive. Na primer, milioni IoT uređaja bili su pogođeni u junu 2020, kada su ranjivosti otkrivene na mrežnom steku koji su koristili različiti proizvođači.
U nekim slučajevima, operativni sistem uređaja je rebrendiran i nije bilo naznake da je proizvod ranjiv. Ovaj trend postepeno prerasta u pretnju jer zlonamerni akteri ciljaju ove lance snabdevanja kako bi kompromitovali organizacije.
Mirai kao najčešći IoT malware
Vremenom je Mirai postao toliko sofisticiran da je sada veoma efikasan kada je u pitanju zaražavanje najrazličitijih IoT uređaja, kao što su bezbednosne kamere ili ruteri. On zaobilazi bezbednosne kontrole i predstavlja rizik iskorišćavanjem dodatnih ranjivosti lateralnim kretanjem kroz mrežu.
Evoluirao je i sada je izuzetno prilagodljiv različitim CPU arhitekturama i može kompromitovati nove vektore napada iskorišćavanjem poznatih i ranjivosti nultog dana (zero-day).
Poslednje godine, rasprostranjenost Mirai-ja se jednako raširila na 32- i 64-bitne x86 procesore, obezbeđujući nacionalnim i globalnim kriminalnim grupama nove mogućnosti. Sada ove grupe koriste nove varijante postojećih botnet-ova u distribuiranom uskraćivanju usluga (DDoS) napadima na strane protivnike.
Da li možemo učiniti nešto povodom toga?
Da.
Postoje delotvorni uvidi koje preporučuje tim Microsoft-a:
- Prvo i najvažnije, redovno nadograđujte uređaje primenom patch-eva, promenom generičkih šifri (default passwords) i SSH portova.
- Još jedan prost korak je isključivanje sa mreže i otvorenih portova koji su nepotrebni u datom trenutku, blokiranje portova kako bi im se onemogućio pristup i korišćenje VPN-a ukoliko je dostupan.
- Koristite IoT/OT NDR rešenja kako biste detektovali uređaje koji komuniciraju sa nepoznatim hostovima i SIEM/SOAR rešenje za praćenje neobičnog ili nedozvoljenog ponašanja.
- Čak i ako napadač upadne, još uvek možete da sprečite da vam imovina bude kompromitovana segmentiranjem mreže i ograničavanjem njegove sposobnosti da se kreće lateralno. S tim u vezi, dobar je savet da koristite firewall da izolujete kompanijske IT mreže od IoT uređaja i OT mreža.
- Ne treba da ostavljate ICS protokole direktno izložene internetu.
Ruteri kao naješće mete botnet napada
Botnet-ovi su učinili ciljanje IoT uređaja mnogo snažnijim, makar u pogledu broja pogođenih uređaja i brzine kojom se napad širi. Ova vrsta napada se obično može desiti ukoliko je ruter nezakrpljen i izložen internetu direktno.
Na ovaj način, sajber napadači mogu da dobiju pristup mreži, izvrše maliciozne napade, čak i podrže svoje operacije. Posebno ranjivi vektori napada su ruteri jer su veoma rasprostranjeni u domovima i organizacijama povezanim na internet.
Predstavićemo vam jednu studiju slučaja kada je Trickbot trojanac iskoristio generičke šifre i ranjivosti MikroTik rutera. Ovo je primer kako hakeri mogu da zloupotrebe ranjivost IoT uređaja da se infiltriraju u mrežu i zaobiđu kompanijske sisteme odbrane.
Kako se to radi?
Objasnićemo korak po korak.
- apadači dobijaju kredencijale za IoT uređaje napadima grube sile (brute force attacks), koristeći poznate ranjivosti već spremnim patch-evima ili korišćenjem generičkih šifri.
- Nakon što dobiju kredencijale, koriste ruter kako bi komunicirali sa Trickbot infrastrukturom.
- Kada pristupe uređaju, mogu izdati jedinstvene komande i preusmeriti saobraćaj između dva porta u ruteru, uspostavljajući komunikacijsku vezu između C2 i uređaja koji je napao Trickbot.
Evo vizuelnog prikaza:
Kripto kriminalci zloupotrebljavaju IoT uređaje
Popularnost kriptovaluta prolazi kroz razne faze, kao i naklonjenost Proof of Work (PoW) ili Proof of Stake (PoS) protokolima. Ipak, oba protokola zahtevaju izvesna ulaganja, bilo u opremi ili u kripto imovini.
Međutim, u slučaju PoW, rudari (miners) treba da investiraju u računarsku snagu i mrežne resurse (npr. rutere) kako bi povećali šansu za uspeh. Ali, to je dugotrajan i proces koji zahteva dosta resursa, sa ne tako velikom šansom za uspeh.
Čega su se kripto kriminalci setili da povećaju svoje šanse za rudarenje (mining) koina (coins)?
Zloupotrebom rutera kako bi preusmerili napore uložene u rudarenje kriptovaluta.
Sajber kriminalci kompromituju rutere povezane sa rudarskim basenima (mining pools) i DNS napadima, koji menjaju DNS postavke ciljanog uređaja, preusmeravaju rudarski saobraćaj ka svojim IP adresama. Pogođeni ruteri registruju pogrešnu IP adresu sa datim imenom domena, šaljući svoje rudarske resurse (ili heševe - hashes) ka basenima koje koriste hakeri. Ovi baseni mogu da rudare nepoznate koine povezane sa kriminalnim radnjama ili da koriste legitimne heševe koje su rudari generisali kako bi dobili procenat koina koji rudare i tako dobijaju nagrade.
Microsoft Digital Defense Report, 2022
Ukoliko ste vizuelni tip osobe, imamo rešenje za vas.
Razvoj regulative o bezbednosti IoT uređaja
Kako bi se stvari zaista promenile, nije dovoljno da pojedinci ili sama organizacija implementira tehnike bezbednosti za sprečavanje IoT napada. Potrebno je da se to uradi na nivou cele nacije, nakon konsultacija sa stručnjacima u tom polju.
I postoje takve inicijative u svetu. Navešćemo nekoliko.
Evropska komisija predložila je Zakon o sajber bezbednosti, koji zahteva da samostalni softver i povezani uređaji budu bezbedni. Prodavcima softvera se savetuje da prate ciklus razvoja softvera, te da obezbede objašnjenje hardverske i softverske strukture svojih proizvoda.
Ujedinjeno Kraljevstvo je sačinilo nacrt Zakona o bezbednosti proizvoda i telekomunikacijskoj infrastrukturi koji zabranjuje proizvođačima da koriste generičke šifre koje se lako mogu „provaliti“ na proizvodima kao što su pametni televizori. Zakon takođe zahteva od kompanija da uspostave politike otkrivanja ranjivosti i podnesu detalje o vremenu kada će obezbediti sigurnosna ažuriranja.
U Evropskoj uniji, novi standardi bezbednosti se implementiraju u vidu mnogih zakona i delegiranog akta Direktivi o radio opremi, koji se primenjuje na bežične uređaje, uključujući pametne telefone i poneke pametne televizore. Cilj zakona je da se zaštiti privatnost potrošača i smanji rizik od novčanih prevara.
Pored toga, možda će biti potrebno da se koristi šema sertifikacije cloud-a koja je trenutno u razvoju kao rezultat Zakona EU o sajber bezbednosti iz 2019.
