Специалисты компании Verizon представители своеобразный тизер грядущего отчета «Дайджест уязвимостей данных за 2016 год». В этом документе компания ежегодно рассказывает о самых интересных и необычных случаях, с которыми ее сотрудникам пришлось столкнуться в последнее время. К примеру, в прошлогоднем отчете специалисты Verizon описывали почти курьезный случай, когда хакеры случайно атаковали водоочистные системы неназванной компании, явно плохо понимая, что они делают.
Полная версия ответа за 2016 год должна появиться в начале марта, а пока исследователи Verizon рассказали об инциденте, произошедшем в неназванном университете. Учебное заведение пострадало от DDoS-атаки, которую устроили его собственные IoT-устройства. Атаку спровоцировал образчик неназванной малвари, который сумел заразить ряд «умных» девайсов, принадлежащих университету, сменить на них пароли по умолчанию, а затем инициировать брутфорс-атаку на ближайшие доступные устройства.
Специалисты Verizon пишут, что пострадавшие устройства принялись генерировать огромное количество запросов DNS lookup, что создало небывалую нагрузку на DNS-сервер университета, по сути, послужив аналогом флуда. В итоге сервер не справился с волной трафика, и множество легитимных запросов так и остались без ответов. Единственной хорошей новостью в сложившейся ситуации было то, что все пять тысяч IoT-устройств университета, будь то «умные» лампочки или торговые автоматы, были выделены в отдельную подсеть.
Изучив сервер и логи файрволла, специалисты Verizon идентифицировали четыре подозрительных IP-адреса и около сотни вредоносных доменов, ранее связанных с IoT-ботнетом. Это позволило «опознать» малварь, с которой они имели дело, и сопоставить образчик вредоноса предыдущей известной версией.
Зная, с чем имеют дело, эксперты смогли найти брешь в работе малвари: оказалось, что новые пароли от скомпрометированных устройств передавались посредством HTTP, в незашифрованном виде. Специалистам удалось перехватить передачу и обнаружить, что новый пароль одинаков для всех взломанных устройств. После осталось лишь написать скрипт, обращающий вредоносные действия вспять, и восстановить контроль над IoT-устройствами.
Более подробный анализ происшествия и рассказ о предпринятых мерах можно найти здесь (PDF).
