Ένα πείραμα honeypot διάρκειας τριών ετών, που περιλαμβάνει προσομοιωμένες συσκευές IoT χαμηλής αλληλεπίδρασης διαφόρων τύπων και τοποθεσιών, δίνει μια σαφή ιδέα του γιατί οι hacker στοχεύουν τις συγκεκριμένες συσκευές.
Δείτε επίσης: Το botnet BotenaGo στοχεύει εκατομμύρια συσκευές IoT με 33 εκμεταλλεύσεις
Το πείραμα honeypot προοριζόταν να δημιουργήσει ένα αρκετά ποικιλόμορφο οικοσύστημα και να ομαδοποιήσει τα δεδομένα που δημιουργούνται, με τρόπο που να καθορίζει τους στόχους των αντιπάλων.
Οι συσκευές IoT (Internet of Things) αποτελούν ένα αναπτυσσόμενο πεδίο, που περιλαμβάνει μικρές συσκευές συνδεδεμένες στο διαδίκτυο, όπως κάμερες, φώτα, κουδούνια πόρτας, έξυπνες τηλεοράσεις, αισθητήρες κίνησης, ηχεία, θερμοστάτες και πολλά άλλα.
Υπολογίζεται ότι έως το 2025, πάνω από 40 δισεκατομμύρια από αυτές τις συσκευές θα είναι συνδεδεμένες στο Διαδίκτυο, παρέχοντας σημεία εισόδου στο δίκτυο ή υπολογιστικούς πόρους που μπορούν να χρησιμοποιηθούν σε μη εξουσιοδοτημένη κρυπτογράφηση ή ως μέρος επιθέσεων DDoS.
Τα τρία στοιχεία του οικοσυστήματος honeypot που δημιουργήθηκε από ερευνητές στο NIST και το Πανεπιστήμιο της Φλόριντα, περιλάμβαναν ένα σύνολο διακομιστών, ένα σύστημα ελέγχου και την υποδομή συλλογής και ανάλυσης δεδομένων.
Για να δημιουργήσουν ένα ποικιλόμορφο οικοσύστημα, οι ερευνητές εγκατέστησαν τους Cowrie, Dionaea, KFSensor και HoneyCamera, οι οποίοι είναι εξομοιωτές Honeypot IoT.
Οι ερευνητές διαμόρφωσαν τις εμφανίσεις τους ώστε να εμφανίζονται ως πραγματικές συσκευές στις Censys και Shodan, δύο εξειδικευμένες μηχανές αναζήτησης που βρίσκουν υπηρεσίες συνδεδεμένες στο διαδίκτυο.
Οι τρεις κύριοι τύποι honeypot ήταν οι εξής:
HoneyShell – Εξομοίωση Busybox
HoneyWindowsBox – Εξομοίωση συσκευών IoT με Windows
HoneyCamera – Εξομοίωση διαφόρων καμερών IP από τις Hikvision, D-Link και άλλες συσκευές.
Ένα νέο στοιχείο σε αυτό το πείραμα είναι ότι τα honeypots προσαρμόστηκαν για να ανταποκρίνονται στην κίνηση των επιτιθέμενων και στις μεθόδους επίθεσης.
Δείτε ακόμα: Το IoT «μεγαλώνει» αλλά η ασφάλεια εξακολουθεί να μένει πίσω!
Οι ερευνητές χρησιμοποίησαν τα δεδομένα που συλλέχθηκαν για να αλλάξουν τη διαμόρφωση και τις άμυνες του IoT και στη συνέχεια να συγκεντρώσουν νέα δεδομένα που αντανακλούσαν την ανταπόκριση των κακόβουλων παραγόντων σε αυτές τις αλλαγές.
Το πείραμα παρήγαγε δεδομένα από 22,6 εκατομμύρια επισκέψεις, με τη συντριπτική πλειοψηφία να στοχεύει το honeypot HoneyShell.
Οι διάφοροι παράγοντες παρουσίασαν παρόμοια μοτίβα επίθεσης, πιθανότατα επειδή οι στόχοι τους και τα μέσα για την επίτευξή τους ήταν κοινά.
Για παράδειγμα, οι περισσότεροι εκτελούν εντολές όπως “masscan” για σάρωση για ανοιχτές θύρες και “/etc/init.d/iptables stop” για να απενεργοποιήσουν τα τείχη προστασίας.
Επιπλέον, πολλοί ηθοποιοί εκτελούσαν “free -m“, “lspci grep VGA” και “cat /proc/cpuinfo” και οι τρεις στοχεύουν στη συλλογή πληροφοριών υλικού σχετικά με τη συσκευή-στόχο.
Είναι ενδιαφέρον ότι σχεδόν ένα εκατομμύριο επιτιθέμενοι δοκίμασαν τον συνδυασμό “admin / 1234” ονόματος χρήστη-κωδικού πρόσβασης, αντικατοπτρίζοντας υπερβολική χρήση των διαπιστευτηρίων σε συσκευές IoT.
Όσον αφορά τους τελικούς στόχους, οι ερευνητές διαπίστωσαν ότι τα honeypots HoneyShell και HoneyCamera στοχεύονταν κυρίως για στρατολόγηση DDoS και συχνά είχαν μολυνθεί επίσης με μια παραλλαγή Mirai ή έναν miner νομισμάτων.
Οι μολύνσεις από miner νομισμάτων ήταν η πιο κοινή παρατήρηση στο honeypot των Windows, ακολουθούμενη από ιούς, droppers και trojans.
Στην περίπτωση της HoneyCamera, οι ερευνητές δημιούργησαν σκόπιμα μια ευπάθεια για να αποκαλύψουν τα διαπιστευτήρια και παρατήρησαν ότι 29 hackers ασχολήθηκαν με την εκμετάλλευση του ελαττώματος με το χέρι.
Δείτε επίσης: Τα bugs BadAlloc εκθέτουν εκατομμύρια IoT συσκευές σε hijack
Για να αποτρέψετε τους hacker από το να καταλάβουν τις συσκευές IoT σας, ακολουθήστε αυτά τα βασικά μέτρα:
- Αλλάξτε τον προεπιλεγμένο λογαριασμό σε κάτι μοναδικό και ισχυρό.
- Δημιουργήστε ένα ξεχωριστό δίκτυο για συσκευές IoT και κρατήστε το απομονωμένο από κρίσιμα στοιχεία.
- Βεβαιωθείτε ότι έχετε εφαρμόσει οποιοδήποτε διαθέσιμο υλικολογισμικό ή άλλες ενημερώσεις ασφαλείας το συντομότερο δυνατό.
- Παρακολουθήστε ενεργά τις συσκευές IoT σας και αναζητήστε σημάδια εκμετάλλευσης.
- Το πιο σημαντικό, εάν μια συσκευή δεν χρειάζεται να εκτεθεί στο Διαδίκτυο, βεβαιωθείτε ότι βρίσκεται πίσω από τείχη προστασίας ή VPN για να αποτρέψετε τη μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση.
