12 апреля 2019, Москва — В воскресенье, 24 февраля, накануне открытия выставки Mobile World Congress 2019, исследователи безопасности Avast приступили к реализации проекта по внедрению 500 систем-приманок типа honeypot в 10 странах мира. Ловушки для хакеров работали в течение всего мероприятия (четыре дня) и после него. Целью эксперимента было установить число попыток подключения к незащищенным устройствам (приманкам) со стороны предполагаемых киберпреступников и по возможности собрать другие ценные данные. Системы honeypot — своеобразные интернет-мышеловки для злоумышленников. В настройках своих ловушек исследователи указали открытые порты, которые обычно имеются у подключенных устройств, чтобы заставить хакеров поверить, что они обращаются к маршрутизаторам, телевизорам и приставкам Smart TV, камерам видеонаблюдения и другой «умной» технике. Результаты эксперимента превзошли ожидания исследователей, причем в плохом смысле.

К закрытию выставки Mobile World Congress (MWC), 28 февраля, команда Avast зарегистрировала 23,2 миллиона попыток установить соединение с ловушками honeypot. Другими словами, 500 фиктивных IoT-устройств могли бы быть взломаны киберпреступниками 23,2 миллиона раз. На каждое устройство ежедневно совершалось 11 588 атак. Чаще всего неизвестные лица сканировали три порта — порт 8080, которым оснащены медиаплееры Chromecast и умные колонки Google Home, порты 22 (Telnet) и 23 (SSH), присутствующие во многих маршрутизаторах. В этом нет ничего удивительного. По данным недавнего исследования Avast, приставки с функцией передачи потокового видео являются одновременно самым распространенным и самым уязвимым подключенным домашним устройством. Безопасность маршрутизаторов также вызывает вопросы. Из 11 миллионов этих устройств, проверенных Avast в сентябре 2018 года, у 60% были простые для взлома пароли или программные уязвимости.

Рис.1 Попытки подключения по данным на 28 февраля (четверг), 12:37

По данным Avast, тремя самыми «популярными» у неизвестных пользователей странами оказались Ирландия, Германия и США. Больше всего попыток сканирования портов было предпринято из США, Китая и Франции.

Тем не менее, однозначно установить источник атаки и его исполнителя специалистам по кибербезопасности не всегда под силу. Такие технологии, как виртуальные частные сети (VPN), печально известная сеть Tor или проксированное подключение через уже зараженное устройство, помогают злоумышленникам скрыть свое местонахождение. При этом было установлено, что в течение четырех дней эксперимента большинство атак поступило с серверов, расположенных в США, Китае и Нидерландах.

«Безопасность любой домашней сети зависит от уровня защищенности ее самого слабого звена. Чем большее число «умных» устройств подключают к этой сети, тем ниже безопасность. Если за четыре дня 500 фиктивных IoT-устройств подверглись атакам 23,2 миллиона раз, попытайтесь представить, что нас ждет в следующем году, когда число реальных подключенных устройств по всему миру достигнет 38,5 миллиардов. Чтобы оценить масштаб угрозы, мы взяли среднее число подключений к каждой системе honeypot за день работы MWC, умножили этот показатель на общее количество устройств IoT, которое, по прогнозам экспертов, будет использоваться в следующем году, и получили внушительную цифру, охватывающую все страны мира, — более 446 триллионов попыток подключения в сутки, при условии, что все эти устройства останутся общедоступными через сеть Интернет. Конечно, это худший вариант из возможных, однако все факты указывают на то, что мы стоим на пороге глобальной катастрофы в области кибербезопасности», — комментирует Мартин Хрон, специалист по безопасности Avast.