IoTroop: nowy botnet atakuje internet rzeczy

Według szacunków Check Point Software, już milion organizacji zostało zainfekowanych.

Badania nad wykrytym botnetem, któremu nadano nazwę IoTroop rozpoczęły się we wrześniu br., kiedy analiza statystyczna wykryła wzrost prób przejęcia kontroli nad urządzeniami IoT, chronionymi przez dedykowane systemy IPS (Intrusion Prevention System). Od tamtej pory IoTroop intensywnie zwiększa swój zasięg, infekując kolejne podłączone do internetu urządzenia na całym świecie. Specjaliści z Check Point Software szacują, że obecnie botnet przejął już kontrolę urządzeniami pracującymi w prawie milionie różnych organizacji.

Botnet IoTroop - dynamika rozprzestrzeniania
Od końca września br. liczba infekcji urządzeń IoT gwałtownie wzrosła – to wyraźny objaw budowy botnetu (fot. Check Point Software).

Tworzenie botnetu to dość długotrwały proces, ale też od skuteczności tej fazy działania cyberprzestępców zależy skuteczność dalszych ataków jakie ewentualnie zostaną przeprowadzone przez osoby mające kontrolę nad tworzonym botnetem. Sam botnet w takim przypadku staje się jedynie narzędziem umożliwiającym przeprowadzenie właściwego ataku, w którym złośliwy ładunek (malware payload) jest błyskawicznie rozprzestrzeniany przez kolejno wszystkie urządzenia wcześniej włączone do struktur danego botnetu. W chwili obecnej złośliwy ładunek nie został jeszcze odpalony, ale biorąc pod uwagę dynamikę wzrostu oraz zasięg botnetu potencjalne zagrożenie jest coraz większe.

IoTroop - mapa urządzeń
Botnet IoTroop nie ma żadnych ograniczeń terytorialnych, atakuje urządzenia bardzo wielu marek (fot. Check Point Software).

Cechą wyróżniającą IoTroop jest to, że „rekrutowanymi” przez botnet urządzeniami nie są komputery czy smartfony lecz urządzenia IoT takie jak np. bezprzewodowe kamery IP. Według analityków Check Point Software zaatakowano urządzenia wielu producentów, m.in. GoAhead, D-Link, TP-Link, AVTech, NetGear, MikroTik, Linksys, Synology i innych. Same próby ataków pochodzą z różnych źródeł i od różnych urządzeń IoT, co wskazuje, że sam atak został rozpowszechnionych z wykorzystaniem urządzeń IoT.

Dobrą wiadomością jest to, że udało się rozpoznać botnet zanim osoby go kontrolujące przeprowadziły atak z wykorzystaniem złośliwego ładunku. Obecnie firmy zajmujące się cyberbezpieczeństwem aktualizują swoje bazy ochronne, by próby przejęcia kontroli nad urządzeniami IoT były blokowane. Jeżeli posiadacie jakiegokolwiek „smart” urządzenia na stałe podłączone do Sieci (np. telewizory), warto zadbać o aktualizację ich oprogramowania. | CHIP