Spoločnosť Flowmon Networks, ktorá sa zaoberá monitoringom sietí a detekciou sieťových anomálií, upozornila na zvýšený výskyt nového malvéru Reaper, známeho aj ako IoT Troop. Ten mal za ostatné týždne infikovať desiatky tisíc internetových zariadení po celom svete, od webových kamier, cez routre až po digitálne video rekordéry.
Pôvodné odhady síce hovorili o vzniku obrovského botnetu s viac ako miliónom infikovaných zariadení, no bližšie analýzy ukázali, že toto číslo nepresahuje 30 000. Reaper má nadväzovať na svojho predchodcu, škodlivý kód Mirai, ktorý na jeseň minulého roka spôsobil rozsiahle výpadky internetových služieb v USA aj v Európe. Do internetových routerov a IP kamier sa pritom dostával cez slabé alebo prednastavené heslá.
Nová hrozba Reaper je však z tohto pohľadu sofistikovanejšia a pri svojom šírení využíva pokročilé hackerské techniky a známe chyby, či zraniteľnosti firmvéru zariadení. Útoky sú zamerané na masívne rozšírené zariadenia značiek Linksys, D-Link, TP-Link, Netgear, AVTech či GoAhead, ktoré bežne používajú firmy aj na Slovensku. Výrobcovia zariadení v drvivej väčšine prípadov na tieto hrozby reagujú vydaním novej verzie firmvéru, no ten je však potrebné nainštalovať, čo často zlyhá kvôli zanedbaniu zo strany používateľov.
Stvoritelia Reapera sa pokúšajú ovládnuť armádu zariadení označovanú ako botnet. Ich motívy zatiaľ nie sú známe, no rýchly nárast počtu kompromitovaných zariadení, ako aj skutočnosť, že škodlivý kód neustále modifikujú, môžu byť predzvesťou rozsiahleho útoku.
„Reaper je významným evolučným krokom vo vývoji škodlivých kódov, ktoré napádajú internetové zariadenia a umožňujú ich zneužívať,“ upozorňuje Roman Čupka z firmy Flowmon Networks.
Potencionálna hrozba pre stabilitu webových služieb i elektrickú sieť
Podľa Čupku by sa infikované zariadenia dali zneužiť nielen na zahltenie a odstavenie vybraných webových služieb, znefunkčnenie internetových pripojení, ale aj na pokus o preťaženie elektrickej siete. Prebehnúť by to mohlo tak, že kód by sa pokúsil o súčasné spustenie obrovského množstva elektrických zariadení. Napríklad cez termostat ovládnutý na diaľku môžu útočníci spustiť klimatizácie alebo kúrenie a potencionálne tak spôsobiť preťaženie a kolaps elektrickej siete.
Flowmon Networks pripomína aj fakt, že počet hrozieb neustále narastá a Reaper je len kvapkou v mori: „Do internetu bude onedlho pripojené doslova všetko a pri slabej ochrane zariadení a sietí sa potenciál útočníkov znásobí,“ upozorňuje R. Čupka.
Firmy a verejná správa by mali zvýšiť ochranu
Firmy a verejná správa by podľa neho mali zvýšiť ochranu riadiacich systémov, ktoré stoja napríklad aj za procesmi v energetike, vodárenstve či verejnej doprave. Tieto tradične izolované systémy sa dnes prepájajú s vonkajším svetom, aby mohli napríklad zbierať dáta zo vzdialených senzorov a umožnili zariadenia ovládať na diaľku. Nové komunikačné toky ich však vystavujú aj novým rizikám.
Flowmon Networks preto chce proti narastajúcim hrozbám bojovať vlastným bezpečnostný riešením založeným na pokročilých analýzach tokov dát a strojovom učení, čo má v praxi fungovať ako senzor podozrivého a neautorizovaného správania, ako aj rôznych anomálií.