Jeden ze způsobů sběru vzorků škodlivého softwaru vizualizovala na MWC v Barceloně antivirová společnost Avast. Návštěvníci stánku měli možnost v reálném čase sledovat, jak se na 500 takzvaných „honey potů“ (česky bychom řekli nástrah) postupně chytají útočníci z celého světa.
Firma si pronajala kapacitu na serverech po celém světě. Jednotlivá virtuální zařízení se navenek tváří jako jakékoliv jiné IoT zařízení, jako je například router, webová kamera, atd. Vše je absolutně nechráněné, takže útočník si může dělat na zařízení doslova, co chce. Zároveň však neexistuje žádný seznam těchto zranitelných adres, takže najít se dají pouze systematickým prohledáváním internetu, typickým právě pro roboty, které ke svým útokům hackeři zneužívají.
Pokud by podobně nechráněný bod odhalil člověk/hacker, po několika krocích by zjistil, že vše není tak, jak se na první pohled zdá. Útočící automat (bot) však nic nepozná a vykonává předurčené úkoly dál. Odborníci z Avastu tak mohou doslova v přímém přenosu sledovat aktuálně nejpopulárnější druhy útoků a případně i zachytit nějaké nové škodlivé kódy, když se vyskytnou.
„Postupně chceme počet nástrah rozšiřovat i do více exotických míst a s menším provozem, kde je však větší šance zachytit dosud neznámý nový typ škodlivého kódu,“ popisuje ve zkratce jeden z autorů projektu z laboratoře Avastu pro výzkum bezpečnostních hrozeb Martin Hron.
Útoky na Chromecast
Momentálně nejpopulárnějším terčem je port 8088, který používá například zařízení Chromecast. Vlna útoků, které od spuštění nástrah patří jednoznačně k nejpočetnějším, je dozvukem akce dvou hackerů z ledna letošního roku. Útok vtipálci pojmenovali CastHack a ovládli při něm přes 70 tisíc zařízení využívajících protokol Google Cast (to jsou Chromecasty, repráčky Google Home, ale i televize s Android TV). Obětem skrze tyto IoT zařízení pustili bez jejich vědomí video z YouTube.
Tento typ zranitelnosti pochopitelně nejde zneužít na vytvoření botnetu (a následné další útoky) ani na anonymizaci útočníka, ale může útočníkovi poskytnout o oběti celou řadu citlivých údajů včetně konfigurace domácí sítě, polohy, atd. Ze způsobů zneužití se pak přímo nabízí vydírání.
„Vždy je to podobné. Jakmile někdo odhalí jakoukoliv potenciálně zneužitelnou zranitelnost, následuje vlna útoků, kdy se profesionálové i amatéři snaží danou chybu otestovat a případně ji využít,“ vysvětluje důvody útoků na konkrétní port Hron.
Podle mapy, kterou vidíte na přiložených screenshotech, pochází nejvíce útoků z USA. Velmi aktivní je pak samozřejmě Rusko a Čína. Nelze však jednoznačně říci, odkud útočníci skutečně jsou. Útok může sice vycházet z USA, ale přitom je vedený z Ruska přes již předem ovládnuté zařízení na území Spojených států. „Z Česka jsme za 14 dní od spuštění zaznamenali 500 tisíc útoků. Z USA jich do světa za tu dobu zamířily miliony,“ dodává Hron.
Velkým překvapením pak byl útok vedený z miniaturního státu Belize na východním pobřeží Střední Ameriky. Vše začalo nejprve ve Francii a s prvním dnem konání veletrhu MWC v Barceloně se útočníci „přemístili“ do Belize. Množství útoků bylo tak vysoké, že i když už pokusy ustaly, stále se tento útok vyskytuje v žebříčku nejčastějších na předních místech.
Na co a proč útočníci cílili, bylo i pro odborníky velkým překvapením. Podrobnosti se dozvíte ve videu.