Počet kyberútoků na IoT zařízení prudce roste

Zastaralé operační systémy, nezáplatované zranitelnosti, nepravidelné aktualizace, používání výchozích hesel a další slabiny z nich dělají snadný cíl. Navíc je nutné zabezpečit software i hardware a výrobci mnohdy nemají příliš velkou motivaci investovat do zabezpečení, zejména v případě levnějších produktů. I proto hraje důležitou roli legislativa a důraz na dodržování předpisů. 

„Jedním z motivů pro útok na zařízení internetu věcí jsou krádeže dat a špehování. Přihlašovací údaje, e-maily, adresy, platební karty, telefonní čísla a podobně lze výhodně prodat na darknetu. Hacknuté kamery lze zase jednoduše použít ke špionážním účelům nebo vydírání. Pokud útočníci proniknou do zařízení, mohou jej zneužít různými způsoby, měnit jeho funkce, způsobit na zařízení škody nebo jej použít k šíření nebo jako nečekaný vstupní bod při útoku na podnikovou síť. Výkonnější IoT zařízení mohou kyberzločinci použít jako součást rozsáhlé sítě pro DDoS útoky,“ řekl Miloslav Lujka, country manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies.

Některé botnety obsahují desítky tisíc nebo i miliony infikovaných zařízení, která „zotročí“ a jejichž výkon používají k nelegálním činnostem. Nechvalně známý IoT botnet Mirai byl například v roce 2016 použit k masivním útokům na společnost Dyn, poskytovatele DNS, a vyřadil z provozu mnoho služeb, včetně YouTube a Twitteru. Alarmující je, že Mirai patří v posledních týdnech mezi nejagresivnější kybernetické hrozby pro české organizace. A sílu IoT zařízení se snaží zneužívat i další botnety, jako jsou Mozi, Echobot, BotenaGo nebo Moonet. Některé botnety si lze pronajmout na darknetu za pár desítek dolarů, což je připomínka komplexnosti kyberzločinu.

Jak vyplývá ze zveřejněné analýzy kyberbezpečnostní společnosti Check Point, v prvních dvou měsících roku 2023 se každý týden stalo obětí kyberútoků zaměřených na IoT zařízení v průměru 54 % organizací. Jedna taková organizace čelila týdně téměř 60 útokům zaměřeným na IoT zařízení, což je o 41 % více než v roce 2022 a více než trojnásobek oproti roku 2021. Útokům běžně čelí například routery, IP kamery, digitální videorekordéry, síťové videorekordéry nebo tiskárny, výjimkou ale nejsou ani chytré televize nebo vysavače. Kyberzločinci si dobře uvědomují, že IoT zařízení jsou jednou z nejzranitelnějších částí sítě, přičemž většina z nich není řádně zabezpečena ani spravována. A úspěšný útok umožní následně proniknout i do podnikové sítě.

Nejvyššímu počtu útoků na IoT zařízení čelí vzdělávací a výzkumné instituce. V průměru na jednu organizaci směřuje neuvěřitelných 131 útoků týdně, což je více než dvojnásobek celosvětového průměru a o 34 % více než v loňském roce. Ve školních sítích je velké množství osobních údajů, což ze studentů a škol činí lukrativní cíle. Útočníci mají stále více možností i vzhledem k častější vzdálené výuce a k nárůstu nových a nezabezpečených IoT zařízení ve školních sítích. Hackeři také dobře vědí, že školy buď neinvestují, nebo si nemohou dovolit investovat do robustních bezpečnostních technologií. To hackerům usnadňuje phishingové i ransomwarové útoky.

Existují stovky IoT zranitelností, přesto některé dominují a kyberzločinci se často pokouší o jejich zneužití:

• MVPower DVR Remote Code Execution: V průměru je touto zranitelností ovlivněno každý týden 49 % organizací.
• Dasan GPON Router Authentication Bypass (CVE-2018-10561): Dopad na 38 % organizací týdně.
• NETGEAR DGN Command Injection: Dopad na 33 % organizací týdně.
• D-Link Multiple Products Remote Code Execution (CVE-2015-2051): Dopad na 23 % organizací týdně.
• D-Link DSL-2750B Remote Command Execution (Vzdálené spuštění příkazu): Dopad na 14 % organizací týdně.

K identifikaci a zneužití zranitelností ve webových aplikacích a rozhraních API se běžně používají skenery zranitelností. Tyto nástroje lze použít k odstraňování slabin, ale mohou je používat i kyberzločinci. Nejoblíbenější jsou nástroje OAST (Out-of-band security testing) a Interact.sh. Skenování útočníkům pomáhá identifikovat potenciální oběti.

Oblíbeným terčem kyberútoků jsou výkonné kamery, ale podívejme se i na několik dalších příkladů, které jsou varováním, že podcenit nelze vůbec nic.

Chytrá žárovka

Zranitelnosti v populárním protokolu ZigBee umožňovaly hackerům zneužít chytré žárovky a řídící jednotku k šíření ransomwaru nebo spywaru v podnikových a domácích sítích. Řada organizací nemá vůbec tušení, že by jejich bezpečnost mohla být narušena útok vedeným přes žárovky.

Chytré hračky

Z webové platformy interaktivních hraček společnosti Vtech bylo možné získat citlivá data, včetně čísla platební karty, adresy, koníčků, jména dětí a podobně. Ještě nebezpečněji bylo možné hacknout panenky „Hello Barbie“, které poslouchaly dítě, rozpoznaly jeho řeč a dokázaly odpovídat na otázky. Hračka měla mikrofon, reproduktor a přes internet posílala slova k analýze a vytvoření odpovědí. Pokud ale někdo pronikl do části, kde se hlas přenáší a ukládá (na serveru), mohl mít přístup ke kompletnímu obsahu celé komunikace. Lze si představit bezpočet způsobů, jak podobné informace zneužít.

Chytrý vysavač

Check Point dříve objevil a publikoval informace o zranitelnost v chytrých domácích produktech LG SmartThinQ. Zranitelnost v mobilní a cloudové aplikaci LG SmartThinkQ umožnila přihlásit se vzdáleně do cloudové aplikace SmartThinQ a převzít kontrolu nad uživatelským účtem LG, včetně možnosti získat kontrolu nad vysavačem a jeho videokamerou. Zranitelnost mohla umožnit špehovat domácnost a útočníci získali možnost ovládat prakticky jakékoliv zařízení LG SmartThinQ, například vypínat a zapínat myčky na nádobí, pračky atd.

Ultrazvuk a kardiostimulátory

Hackeři neustále hledají nové cestičky, jak získat přístup k novým údajům, proto stále častěji čelí kyberútokům i nemocnice a zdravotnická zařízení. Důvod je prostý, zdravotnická data jsou extrémně citlivá, a tedy i cenná a pokud je organizace ochromena například ransomwarem, často zaplatí výkupné, protože si nemůže dovolit ani únik dat, ukradených při podobných útocích, ani výpadek svých služeb. Výzkumný tým Check Point Research odhalil, že některé starší ultrazvukové přístroje využívající operační systém Windows 2000, bylo možné hacknout a získat přístup do databáze ultrazvukových snímků a dat pacientů. Uložené snímky bylo možné měnit a ultrazvuk bylo dokonce možné infikovat ransomwarem.

V roce 2017 stáhl americký úřad pro kontrolu potravin a léčiv z trhu také téměř půl milionu kardiostimulátorů kvůli obavám z nedostatečné kybernetické ochrany. Hrozilo, že by kyberzločinci mohli kromě krádeže citlivých dat vybíjet baterii kardiostimulátoru nebo dokonce měnit srdeční tep pacienta.

Chytrá auta

V roce 2015 dva hackeři ukázali, že lze vzdáleně převzít kontrolu nad vozem Jeep Cherokee, a německý hacker David Colombo se dokázal nabourat do několika vozů Tesla. Jakékoli narušení bezpečnosti v automobilovém průmyslu je mimořádně vážné, protože následky mohou být, podobně jako v lékařském průmyslu, tragické.

Prevence, nikoli detekce

Podobně bychom ve výčtu zranitelných zařízení a možnostech zneužití mohli pokračovat ještě řadou dalších příkladů. Dostat se ke zranitelným zařízením může být lehčí, než se zdá. „Například přes vyhledávač Shodan lze najít nezabezpečená IoT zařízení, takže miliony domácností je možné špehovat jejich vlastními kamerami. Že je vaše zařízení infikované a součástí botnetu, můžete zjistit mimo jiné poklesem jeho výkonu. Ale podobně jako v reálném světě i v tom kybernetickém je potřeba klást důraz na prevenci. Taky asi nebudete chtít odhalit lupiče v maskách, až když vám v noci budou prohledávat dům. Podobně je potřeba eliminovat hrozby a útoky v kybernetickém světě, ještě než mohou způsobit nějaké škody,“ dodal Lujka.