Системы университета были атакованы собственными торговыми автоматами



Ботнет из 5 тыс. установленных в учебном заведении IoT-устройств атаковал его системы.

Устройства «Интернета вещей» (IoT) приобретают у киберпреступников все большую популярность в качестве инструментов для осуществления DDoS-атак. В руках хакеров ботнеты из «умных» чайников, холодильников, камер видеонаблюдения и видеорегистраторов становятся мощным оружием.

В посвященном киберугрозам новом дайджесте компании Verizon описан случай, когда системы неназванного университета были атакованы собственными торговыми автоматами, смарт-лампочками и другими IoT-устройствами. Инцидент был обнаружен после того, как студенты университета стали испытывать проблемы с доступом к интернету. Работник IT-отдела заподозрил неладное, обнаружив неожиданный всплеск числа запросов к сайтам, посвященным морепродуктам. DNS-сервер не справлялся с большим объемом трафика, и в результате возникли проблемы с доступом к Сети.

Администрация учебного заведения обратилась за помощью к команде Verizon RISK. Эксперты проанализировали логи DNS и межсетевых экранов и обнаружили, что установленные в университете и кампусе IoT-устройства были взломаны и каждые 15 минут отправляли DNS-запросы, связанные с морепродуктами.

Подключенные устройства были заражены вредоносным ПО и являлись частью ботнета. Поскольку в них использовались слабые пароли, взломать их не составило труда. Когда с помощью брутфорса нужный пароль был подобран, вредонос получал полный контроль над зараженной системой. ПО подключалось к своему C&C-серверу и получало от него обновления и новые пароли, в результате чего IT-отдел университета лишился контроля над 5 тыс. устройств.

Просто заменить инфицированные торговые автоматы и лампочки новыми было бы неэффективно, посчитали эксперты Verizon RISK, поскольку из-за ненадежных паролей они снова были бы взломаны. С помощью анализатора трафика исследователям удалось извлечь полученные вредоносом новые пароли для зараженных устройств. Эксперты написали скрипт, позволивший обновить пароли на инфицированных системах и удалить вредоносное ПО.

Читайте также:  У пароля «123456» появились серьезные конкуренты


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

восемь − 4 =

наверх