Университет был атакован ботнетом из 5 тысяч своих собственных торговых автоматов, умных ламп и других устройств

Крупнейшая американская телекоммуникационная компания Verizon в преддверии выпуска своего ежегодного дайджеста, посвящённого крупнейшим взломам и утечкам данных, опубликовала в качестве сник-пика занимательную историю. Она рассказывает о пожелавшем остаться анонимным университете, запросах о морепродуктах и IoT-ботнете: хакеры атаковали сеть учебного заведения, использовав сеть его собственных умных устройств. 

К тому моменту, как старший сотрудник отдела IT-безопасности узнал об инциденте, жалобный стол университета был просто завален сообщениями о медленном доступе к Сети, а то и вовсе о его отсутствии. Этот сотрудник и поделился с Verizon рассказом о происшествии.

Что же произошло?

Он заподозрил что-то неладное после того, как увидел внезапно возросший интерес пользователей сети к сайтам, связанным с морепродуктами. Соответственно, пока сервера пытались обработать эти зловредные запросы, пользователи не могли получить доступ в Интернет. Это объяснило проблему “медленного доступа”, но источник атаки оставался неизвестным.

Поэтому университет связался с командой Verizon RISK (Research, Investigations, Solutions and Knowledge) и передал ей логи DNS и фаервола. Команда RISK обнаружила, что вся сеть учебного заведения, состоящая из торговых автоматов и ещё пяти тысяч прочих умных устройств, была взломана и отправляла DNS-запросы, связанные с морепродуктами, каждые 15 минут.

И как они решили эту проблему?

По словам сотрудника, проблемой стали слабые пароли, и доступ к сети был получен в результате брутфорс-атаки. Сначала он думал, что единственным способом исправить ситуацию будет замена всех заражённых устройств, но после изучения отчёта от команды RISK было принято решение использовать сниффер, который перехватил новые пароли зараженных устройств. В результате контроль над инфраструктурой был восстановлен.

Ну, 5 тысяч устройств — это немного…

Разумеется, это лишь скромный пример ботнета. Во второй половине 2016 года всемирную известность получил ботнет Mirai, ставший настолько мощным, что он был способен блокировать Интернет в целых странах. Тогда мы разбирались, как устроен Mirai, и обозревали связанные с ним события.