Η αυξημένη χρήση των Internet of Things (IoT) συσκευών και των μη υποστηριζόμενων λειτουργικών συστημάτων αφήνει τα δίκτυα ευάλωτα σε κυβερνοεπιθέσεις και malware.
Ένα από τα malware που εκμεταλλεύονται αυτή την κατάσταση είναι το Conficker. Το Conficker πρωτοεμφανίστηκε το 2008 και εκμεταλλευόταν ευπάθειες στα Windows XP και τα παλαιότερα λειτουργικά συστήματα της Microsoft για να εξαπλωθεί σε ευάλωτα μηχανήματα και να τα εντάξει σε ένα botnet. Υπολογίζεται ότι περίπου 15 εκατομμύρια υπολογιστές είχαν πέσει θύμα του Conficker έως το 2009. Ωστόσο σύμφωνα με ερευνητές, το malware εξακολουθεί να αποτελεί απειλή 12 χρόνια μετά.
Αυτό το είδος malware δεν ήταν ιδιαίτερα καταστρεπτικό και οι δημιουργοί του είχαν περιορίσει για ένα διάστημα τη χρήση του, καθώς είχε τραβήξει την προσοχή των ειδικών. Ωστόσο, το worm παραμένει ενεργό και εκατοντάδες χιλιάδες μηχανήματα βρίσκονται σε κίνδυνο.
Μια νέα έκθεση της Palo Alto Networks έδειξε ότι οι επιθέσεις με το Conficker έχουν αυξηθεί, και ότι ο αριθμός των μολυσμένων μηχανημάτων, το τελευταίο διάστημα, έχει φτάσει τις 500.000.
Ένας από τους τρόπους με τους οποίους συνεχίζει να εξαπλώνεται το Conficker, είναι η μόλυνση των συνδεδεμένων ιατρικών συσκευών, που τρέχουν μη ενημερωμένες εκδόσεις των Windows. Σύμφωνα με τους ερευνητές, σχεδόν ένας στους πέντε πελάτες της Palo Alto Networks έχει μολυνθεί με το Conficker τα τελευταία δύο χρόνια.
Ένα συγκεκριμένο περιστατικό εντοπίστηκε από τους ερευνητές, όταν το λογισμικό ασφαλείας Zingbox IoT της Palo Alto Networks ανίχνευσε ασυνήθιστη συμπεριφορά στο δίκτυο.
Η ασυνήθιστη δραστηριότητα προερχόταν από ένα μηχάνημα μαστογραφίας και μέσα σε λίγες μέρες ανακαλύφθηκε ότι το Conficker είχε, επίσης, μολύνει άλλες ιατρικές συσκευές που ήταν συνδεδεμένες στο ίδιο δίκτυο, συμπεριλαμβανομένων ενός μηχανήματος μαστογραφίας, μιας ψηφιακής μονάδας απεικόνισης, ενός ακτινολογικού μηχανήματος και άλλων συσκευών.
Το προσωπικό του νοσοκομείου προσπάθησε να απομακρύνει τις μολύνσεις, κάνοντας επανεκκίνηση των συνδεδεμένων συσκευών, αλλά λίγες ώρες μετά την επιστροφή τους στο δίκτυο, το Conficker τις μόλυνε ξανά, επειδή οι συσκευές δεν είχαν λάβει patches ασφαλείας. Επομένως, παρέμεναν ευάλωτες.
Το νοσοκομείο (του οποίου το όνομα δεν έχει διαρρεύσει) αναγκάστηκε να θέσει εκτός λειτουργίας όλες τις συσκευές. Στη συνέχεια, εγκατέστησε τις πιο πρόσφατες ενημερώσεις ασφαλείας και επανέφερε σταδιακά όλα τα συστήματα. Χρειάστηκε μια εβδομάδα μέχρι να επαναλειτουργήσουν όλες οι συσκευές και τα δίκτυα.
Ένας από τους βασικούς λόγους για τους οποίους το Conficker worm κατάφερε να εξαπλωθεί στις ιατρικές IoT συσκευές, είναι ότι αυτές οι συσκευές δεν παρακολουθούνται όπως οι υπόλοιποι υπολογιστές στο δίκτυο. Έτσι, επιτρέπουν σε hackers να χρησιμοποιούν κακόβουλα προγράμματα και να αποκτούν πρόσβαση στα δίκτυα.
Οι hackers το γνωρίζουν αυτό και έτσι στρέφονται ολοένα και περισσότερο στην ανάπτυξη botnets που στοχεύουν IoT, όπως είναι το Mirai. Οι εκδόσεις του Mirai source code βοήθησαν στην αύξηση του αριθμού των επιθέσεων που βασίζονται στο IoT.
Ωστόσο, οι οργανισμοί μπορούν να προστατεύσουν τις IoT συσκευές στο δίκτυό τους, ακολουθώντας μερικά απλά βήματα:
- Πρώτον, οι οργανισμοί θα πρέπει να σαρώσουν τα δίκτυά τους για να ανακαλύψουν όλες τις IoT συσκευές.
- Δεύτερον, οι κοινές IoT συσκευές όπως οι εκτυπωτές και οι κάμερες ασφαλείας (και τα συστήματα παρακολούθησης ασθενών), θα πρέπει να λαμβάνουν τακτικές ενημερώσεις, ώστε να διορθώνονται πιθανές ευπάθειες.
- Τρίτον, οι IoT συσκευές θα πρέπει να βρίσκονται σε ένα ξεχωριστό δίκτυο και όχι σε αυτό που υπάρχουν οι υπολογιστές και τα λάπτοπ. Έτσι, αν ένας hacker παραβιάσει μια IoT συσκευή και τη μολύνει με malware δεν θα μπορεί να επηρεάσει και τα άλλα συστήματα.
Αλλά το κλειδί είναι να ενημερώσουμε όλες τις δυνητικά ευάλωτες συσκευές. Η ευπάθεια που εκμεταλλεύεται το Conficker είναι πάνω από δέκα χρονών, οπότε η ενημέρωση θα έπρεπε να έχει γίνει πολύ καιρό πριν.
“Είστε σε κίνδυνο εάν τρέχετε ένα ξεπερασμένο λειτουργικό σύστημα, όπως τα Windows XP, Windows Vista, Windows Server 2003 ή Windows Server 2008. Επίσης, οι χρήστες θα πρέπει να απενεργοποιούν το SMB και να αναβαθμίσουν τα λειτουργικά συστήματα των Windows στην πιο πρόσφατη έκδοση. Τέλος, πρέπει να απαγορευτεί η πρόσβαση στο διαδίκτυο σε συσκευές κρίσιμης σημασίας”, δήλωσε ο May Wang, στέλεχος της Palo Alto Networks.
