Cyberbezpieczeństwo
Robak atakujący Internet Rzeczy uśmiercony w cztery dni
Na początku grudnia w Internecie zaktywizował się nowy wariant robaka Mirai – złośliwego oprogramowania wyspecjalizowanego w infekowaniu urządzeń wchodzących w skład infrastruktury Internetu Rzeczy. Szkodnik był niebezpieczny i wyjątkowo łatwo się rozprzestrzeniał – a mimo to specjalistom ds. bezpieczeństwa udało się zneutralizować zagrożenie w zaledwie… 4 dni.
Mirai znany jest od co najmniej kilkunastu miesięcy – już w październiku 2016 roku spowodował poważne zamieszanie za sprawą infekcji niektórych domowych routerów na masową skalę. Nowa wersja Mirai, nazwana przez specjalistów ds. bezpieczeństwa “Satori”, była jeszcze bardziej aktywna. Aplikacja korzystała ze znanych wcześniej luk w zabezpieczeniach routerów, jednak to nie te urządzenia były bezpośrednim jej bezpośrednim celem – routery były infekowane po to, by robak był w stanie zaatakować podłączane do nich urządzenia Internetu Rzeczy.
Satori okazał się nad wyraz efektywny – z artykułu opublikowanego przez serwis Eweek.com dowiadujemy się, że w mniej niż 4 dni robak zdołał stworzyć botnet składający się z ponad 700 tys. zainfekowanych urządzeń. Analizy wykazały, że były one zlokalizowane głównie w Egipcie oraz Ameryce Łacińskiej, co wynikało z faktu, że to właśnie tam popularne były podatne na atak routery.
Walkę ze szkodnikiem podjęła m.in. firma Level 3 Communications. Jej przedstawiciele nie tylko wykryli skalę zagrożenia, ale zastosowali też standardowe działania, polegające m.in. na zablokowaniu dostępu do serwerów koordynujących ataki Satori oraz informowaniu zaatakowanych klientów o konieczności zaktualizowania oprogramowania routerów. Firma skontaktowała się w tym celu z dwoma dostawcami usług internetowych, których klienci stanowili większość zaatakowanych. Pracownicy dostawcy usług internetowych również zaangażowali się w walkę z zagrożeniem.
Skuteczność operacji „antyrobakowej” okazała się równie wysoka, jak aktywność robaka – w ciągu zaledwie czterech dni udało się odciąć botnet od serwera kontrolującego i tym samym zablokować mu możliwość przyjmowania instrukcji oraz dalszego rozprzestrzeniania się. Po niespełna 100 godzinach botnet de facto zniknął z sieci, a aktywność szkodnika zamarła.
Mimo sukcesu, specjaliści zwracają uwagę, że Satori może być tylko przedsmakiem tego, z jakimi zagrożeniami możemy się spotkać w realiach rosnącego zainteresowania koncepcją Internetu Rzeczy. Problem polega bowiem na tym, że w systemach Internetu Rzeczy wdrażane są masowo identyczne urządzenia o takiej samej konfiguracji – co automatycznie sprawia, że w razie wykrycia metody skutecznego zaatakowania konkretnego modelu urządzenia IoT skala infekcji w krótkim czasie sięgnie ogromnych rozmiarów. To właśnie standaryzacja urządzeń oraz ich konfiguracji może stanowić podstawę do działania wielu ataków wymierzonych w sieci Internetu Rzeczy. Należy bowiem pamiętać, że – przykładowo – w przypadku komputerów osobistych pracujących pod kontrolą systemu Windows wykrywane błędy występują we wszystkich instalacjach danej wersji systemu, ale potencjał ataku może być ograniczony m.in. przez indywidualne skonfigurowanie danej instalacji. Warto dodać, że w ostatnim czasie trwają intensywne prace nad opracowaniem nowych standardów zabezpieczania systemów Internetu Rzeczy – badania nad tym zagadnieniem koordynuje m.in. organizacja IoT Security Foundation.