Depuis 2016, nous les avons capturés, collecté des statistiques et c'est ce qui s'est finalement produit. Nous ne donnons pas de prévisions, mais indiquons seulement à quel point les risques dans cet environnement ont augmenté.
Nos analystes ont préparé une étude qui présente les menaces courantes pour les appareils intelligents et l'Internet des objets (IoT) en général. Un grand nombre d'appareils, tels que des téléviseurs intelligents, des caméras de vidéosurveillance, des montres et des jouets intelligents, des réfrigérateurs, des voitures, des trackers de fitness et des DVR, sont enregistrés quotidiennement sur le World Wide Web. La plupart d'entre eux sont mal protégés contre les attaques, voire complètement vulnérables.
Présentation
Désormais, le World Wide Web comprend non seulement des ordinateurs, des smartphones, des tablettes et des routeurs, mais également des téléviseurs intelligents, des caméras de vidéosurveillance, des montres intelligentes, des réfrigérateurs, des voitures, des trackers de fitness, des enregistreurs vidéo et même des jouets pour enfants. Le nombre d'appareils IoT dépasse déjà plusieurs milliards et leur nombre augmente chaque année.
Beaucoup d'entre eux sont mal ou totalement non protégés contre les attaques. Par exemple, pour s'y connecter, des paires de connexion / mot de passe simples ou bien connues peuvent être utilisées, qui sont installées par défaut sur des centaines de milliers de modèles. Leurs propriétaires ne pensent pas à modifier les paramètres définis en usine, ou ne peuvent pas le faire en raison des limitations des fabricants eux-mêmes. Les attaquants sont relativement faciles à accéder à ces appareils à l'aide de combinaisons de dictionnaires (méthode dite de force brute - force brute). De plus, ils peuvent exploiter les vulnérabilités des systèmes d'exploitation installés sur eux.
Depuis 2016, Doctor Web surveille de près les menaces pesant sur le segment de l'Internet des objets. Pour cela, nos experts ont déployé un réseau d'appâts spécialisés - les khanipots (du mot pot de miel - un pot de miel). Ces pièges imitent divers types d'appareils électroniques «intelligents» et enregistrent les tentatives de les infecter. Les Hanipots couvrent plusieurs plates-formes matérielles à la fois, notamment ARM, MIPS, MIPSEL, PowerPC et Intel x86_64. Ils vous permettent de suivre les vecteurs d'attaque, de détecter et de rechercher de nouveaux échantillons de logiciels malveillants, d'améliorer leurs mécanismes de détection et de les traiter plus efficacement.
Cet article fournit des informations sur les attaques détectées sur les appareils intelligents, ainsi que sur les menaces les plus courantes contre l'Internet des objets.
Statistiques
Au tout début de l'observation, les analystes viraux ont enregistré une activité relativement faible de logiciels malveillants ciblant les appareils Internet des objets. Au cours des quatre mois de 2016, les spécialistes de Doctor Web ont détecté 729 590 attaques, mais en seulement un an - 32 fois plus, 23 741 581. En 12 mois, il y en avait déjà 99 199 434. Comme pour l'année en cours, seulement pour la première six mois plus tard, 73 513 303 attaques ont été menées - presque autant que pour l'ensemble de 2018.
La dynamique de détection des attaques d'attaque est illustrée dans le graphique:
En moins de trois ans, le nombre de tentatives de piratage et d'infection d'appareils Internet of Things a augmenté de 13 497%.
Les attaques sur les appareils intelligents ont été menées à partir d'adresses IP situées dans plus de 50 pays. Le plus souvent, ce sont les États-Unis, les Pays-Bas, la Russie, l'Allemagne, l'Italie, le Royaume-Uni, la France, le Canada, Singapour, l'Inde, l'Espagne, la Roumanie, la Chine, la Pologne et le Brésil.
La répartition géographique des sources d'attaque et leur pourcentage sont présentés dans le graphique suivant:
Après avoir réussi à compromettre les appareils, les attaquants peuvent y charger un ou plusieurs chevaux de Troie. Au total, le nombre de fichiers malveillants uniques détectés par nos pièges au cours de la période d'observation était de 131 412. La dynamique de leur détection est illustrée ci-dessous.
Les appareils intelligents s'exécutent sur diverses architectures de processeur et de nombreux programmes malveillants ont des versions pour plusieurs plates-formes matérielles à la fois. Parmi ceux qui imitent nos hanipots, les appareils les plus fréquemment attaqués sont ceux dotés de processeurs ARM, MIPSEL et MIPS. Cela se voit clairement dans le diagramme:
Selon les statistiques reçues par les chanipots, les programmes malveillants les plus actifs sont des représentants de la famille Linux.Mirai , qui représentent plus de 34% des attaques. Ils sont suivis par les bootloaders Linux.DownLoader (3% des attaques) et les chevaux de Troie Linux.ProxyM (1,5% des attaques). Le top dix comprend également les applications malveillantes Linux.Hajime , Linux.BackDoor.Fgt , Linux.PNScan, Linux.BackDoor.Tsunami et Linux.HideNSeek. Le pourcentage des chevaux de Troie les plus actifs est présenté dans l'illustration suivante:
Les programmes malveillants qui attaquent les appareils intelligents peuvent être divisés en plusieurs catégories de base en fonction de leurs fonctions principales:
- Chevaux de Troie pour les attaques DDoS (exemple: Linux.Mirai);
- Chevaux de Troie qui distribuent, téléchargent et installent d'autres applications malveillantes et composants auxiliaires (exemple: Linux.DownLoader, Linux.MulDrop);
- Chevaux de Troie qui vous permettent de contrôler à distance les appareils infectés (exemple: Linux.BackDoor);
- Chevaux de Troie qui transforment des périphériques en serveurs proxy (exemple: Linux.ProxyM, Linux.Ellipsis.1, Linux.LuaBot);
- chevaux de Troie d'extraction de crypto-monnaie (exemple: Linux.BtcMine);
- d'autres.
Cependant, la plupart des programmes malveillants modernes sont des menaces multifonctionnelles, car beaucoup d'entre eux peuvent combiner plusieurs fonctions à la fois.
Tendances des menaces pour les appareils intelligents
- En raison de la disponibilité des codes sources des chevaux de Troie, tels que Linux.Mirai, Linux.BackDoor.Fgt, Linux.BackDoor.Tsunami et autres, le nombre de nouveaux programmes malveillants augmente.
- L'émergence d'un nombre croissant d'applications malveillantes écrites dans des langages de programmation "non standard", comme Go et Rust.
- Les attaquants disposent d'informations sur de nombreuses vulnérabilités, dont l'exploitation aide à infecter les appareils intelligents.
- La popularité des mineurs exploitant des crypto-monnaies (principalement Monero) sur les appareils de l'Internet des objets demeure.
Vous trouverez ci-dessous des informations sur les chevaux de Troie les plus courants et les plus remarquables pour l'Internet des objets.
Plus d'informations sur les menaces pesant sur l'Internet des objets
Linux.MiraiLinux.Mirai est l'un des chevaux de Troie les plus actifs qui attaquent les appareils IoT . La première version de cette application malveillante est apparue en mai 2016. Plus tard, ses codes sources ont été publiés dans le domaine public, il a donc rapidement obtenu un grand nombre de modifications créées par divers auteurs de virus. Désormais, Linux.Mirai est le cheval de Troie le plus courant pour Linux qui s'exécute sur diverses architectures de processeur, telles que x86, ARM, MIPS, SPARC, SH-4, M68K, etc.
Après avoir infecté le périphérique cible, Linux.Mirai se connecte au serveur de gestion et attend d'autres commandes de celui-ci. La fonction principale de ce cheval de Troie est de mener des attaques DDoS.
Le graphique suivant montre la dynamique de détection des copies actives de cette application malveillante par les chanipotas:
Diverses modifications Linux.Mirai sont les plus actives en Chine, au Japon, aux États-Unis, en Inde et au Brésil. Voici les pays où, pendant la période d'observation, le nombre maximal de robots de cette famille a été enregistré.
Linux.HajimeUn autre malware malveillant qui infecte les appareils intelligents est Linux.Hajime . Ce cheval de Troie est connu des analystes de virus depuis la fin de 2016. Il fonctionne sur les architectures ARM, MIPS et MIPSEL et implémente la fonction d'un ver de réseau, se propageant à l'aide du protocole Telnet. Les appareils infectés sont inclus dans un botnet P2P décentralisé et sont utilisés pour infecter davantage les objets disponibles sur le Web. Un programme malveillant bloque l'accès d'autres programmes malveillants aux appareils attaqués avec succès en bloquant les ports 23, 7547, 5555 et 5358 sur eux.
Le pic de l'activité Linux.Hajime s'est produit fin 2016 - début 2017, lorsque le nombre maximal de copies simultanément actives des chevaux de Troie de cette famille a dépassé 43 000. Après cela, l'activité des logiciels malveillants a chuté et continue de baisser progressivement. Actuellement, le nombre de bots Linux.Hajime actifs ne dépasse pas plusieurs centaines.
Ces chevaux de Troie sont les plus répandus au Brésil, en Turquie, au Vietnam, au Mexique et en Corée du Sud. La carte montre les pays avec le nombre maximum de chevaux de Troie Linux.Hajime actifs qui ont été enregistrés pendant toute la période d'observation.
Linux.BackDoor.Fgt
Les cinq principaux chevaux de Troie conçus pour infecter les appareils de l'Internet des objets incluent Linux.BackDoor.Fgt , qui est distribué depuis l'automne 2015. Différentes versions de cette application malveillante prennent en charge les architectures MIPS, SPARC et autres et fonctionnent dans l'environnement Linux OS. Le code source de Linux.BackDoor.Fgt est accessible au public, c'est pourquoi il est si populaire parmi les auteurs de virus.
Ces portes dérobées sont distribuées à l'aide des protocoles Telnet et SSH, récupérant les identifiants et les mots de passe pour accéder aux objets attaqués. L'objectif principal de ces chevaux de Troie est de mener des attaques DDoS et de contrôler à distance les appareils infectés.
Linux.ProxyM
Le cheval de Troie Linux.ProxyM est l'un des programmes malveillants que les cybercriminels utilisent pour sécuriser leur propre anonymat sur Internet. Il lance un serveur proxy SOCKS sur les appareils Linux infectés par lequel les cybercriminels acheminent le trafic réseau. Les spécialistes de Doctor Web ont découvert les premières versions de Linux.ProxyM en février 2017, et ce cheval de Troie est toujours actif.
Linux.Ellipsis.1
Linux.Ellipsis.1 est un autre cheval de Troie conçu pour transformer les appareils et les ordinateurs Linux IoT en serveurs proxy. Il a été arrêté par les analystes de Doctor Web en 2015. Après le démarrage, il supprime les fichiers journaux et bloque leur recréation, supprime certains utilitaires système et interdit également au périphérique de communiquer avec des adresses IP spécifiques. Si le cheval de Troie détecte du trafic suspect à partir d'une des adresses, il blackliste également cette IP. De plus, à la commande du serveur de gestion Linux.Ellipsis.1 , les applications qui se connectent à des adresses interdites cessent de fonctionner.
Linux.LuaBot
Doctor Web a découvert les premières versions de la famille de chevaux de Troie Linux.LuaBot en 2016. Ces applications malveillantes sont écrites dans le langage de script Lua et prennent en charge les périphériques avec architecture Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4 et M68k. Ils se composent de plusieurs dizaines de modules de script, chacun effectuant une tâche spécifique. Les chevaux de Troie sont en mesure de recevoir des mises à jour de ces modules du serveur de gestion, ainsi que d'en télécharger de nouveaux. Linux.LuaBot - applications malveillantes riches. En fonction de la modification des applications malveillantes et d'un ensemble de scripts, les attaquants peuvent les utiliser pour contrôler à distance les appareils infectés, ainsi que créer des serveurs proxy pour l'anonymisation sur le Web.
Linux.BtcMine.174
Pour les attaquants, l'extraction (extraction) de crypto-monnaies est l'une des principales causes d'infection des appareils Internet des objets. Les chevaux de Troie de la famille Linux.BtcMine, ainsi que d'autres applications malveillantes, les y aident. L'un d'eux - Linux.BtcMine.174 - a été trouvé par des spécialistes Doctor Web fin 2018. Il est destiné à l'exploitation minière de Monero (XMR). Linux.BtcMine.174 est un script écrit en langage shell sh. S'il n'est pas exécuté en tant que root, le cheval de Troie tente d'augmenter ses privilèges avec plusieurs exploits.
Linux.BtcMine.174 recherche les processus des programmes antivirus et essaie de les terminer, ainsi que de supprimer les fichiers de ces programmes de l'appareil. Ensuite, il télécharge et lance plusieurs composants supplémentaires, y compris un module de porte dérobée et de rootkit, après quoi il lance un programme mineur dans le système.
Le cheval de Troie s'enregistre en chargement automatique, il n'a donc pas peur de redémarrer un appareil infecté. De plus, il vérifie périodiquement si le processus de mineur est actif. Si nécessaire, il l'initie à nouveau, assurant la continuité de l'extraction de crypto-monnaie.
Linux.MulDrop.14
Les chevaux de Troie de la famille Linux.MulDrop sont utilisés pour distribuer et installer d'autres applications malveillantes. Ils travaillent sur de nombreuses architectures matérielles et types de périphériques.Cependant, en 2017, les analystes de virus de Web Web ont détecté le cheval de Troie Linux.MulDrop.14 , qui ciblait les ordinateurs Raspberry Pi. Ce dropper est un script dans le corps duquel est stocké un programme crypté - un mineur de crypto-monnaie. Après le lancement, le cheval de Troie décompresse et lance le mineur, après quoi il essaie d'infecter d'autres appareils disponibles dans l'environnement réseau. Pour empêcher les «concurrents» d' accéder aux ressources du périphérique infecté, Linux.MulDrop.14 bloque le port réseau 22.
Linux.HideNSeek
Le malware Linux.HideNSeek infecte les appareils intelligents, les ordinateurs et les serveurs exécutant Linux, en les combinant en un botnet décentralisé. Pour la distribution, ce cheval de Troie génère des adresses IP et essaie de s'y connecter à l'aide d'un dictionnaire de noms d'utilisateur et de mots de passe, ainsi que d'une liste de combinaisons de données d'authentification connues. De plus, il est capable d'exploiter diverses vulnérabilités des équipements. Linux.HideNSeek peut être utilisé pour contrôler à distance les appareils infectés - exécuter des commandes de cybercriminels, copier des fichiers, etc.
Linux.BrickBot
Contrairement à la plupart des autres logiciels malveillants, les chevaux de Troie Linux.BrickBot ne sont pas conçus pour tirer profit. Ce sont des vandales qui sont conçus pour désactiver les ordinateurs et les appareils intelligents, ils sont connus depuis 2017.
Les chevaux de Troie Linux.BrickBot tentent d'infecter des périphériques via le protocole Telnet en choisissant des noms d'utilisateur et des mots de passe pour eux. Ils essaient ensuite d'effacer les données de leurs modules de mémoire en lecture seule, de réinitialiser les paramètres réseau, de bloquer toutes les connexions et de redémarrer. En conséquence, pour restaurer les objets endommagés, ils devront être flashés ou même remplacés. Ces chevaux de Troie sont rares, mais ils sont extrêmement dangereux.
Fin juin 2019, le cheval de Troie Linux.BrickBot.37, également connu sous le nom de Silex, s'est propagé. Il a agi de la même manière que d'autres représentants de la famille Linux.BirckBot - il a effacé les données des lecteurs de périphériques, supprimé leurs paramètres réseau et redémarré, après quoi ils ne pouvaient plus s'allumer et fonctionner correctement. Nos pièges ont enregistré plus de 2600 attaques de ce cheval de Troie.
Conclusion
Des millions d'appareils de haute technologie, qui sont de plus en plus utilisés dans la vie quotidienne, sont en fait de petits ordinateurs avec leurs inconvénients inhérents. Ils sont susceptibles d'attaques et de vulnérabilités similaires, tandis qu'en raison des particularités et des limites de la conception, leur protection peut être beaucoup plus difficile, voire impossible. En outre, de nombreux utilisateurs ne sont pas pleinement conscients des risques potentiels et perçoivent toujours les appareils «intelligents» comme des «jouets» sûrs et pratiques.
Le marché de l'Internet des objets se développe activement et, à bien des égards, répète la situation avec le début de la distribution de masse des ordinateurs personnels, lorsque les mécanismes de lutte contre les menaces qui les menaçaient n'ont pris forme et ne se sont améliorés. Alors que les fabricants d'équipements et les propriétaires d'appareils intelligents s'adaptent aux nouvelles réalités, les attaquants ont d'énormes possibilités d'attaques. Par conséquent, dans un proche avenir, nous devrions nous attendre à l'émergence de nouveaux logiciels malveillants pour l'Internet des objets.
Doctor Web continue de surveiller la situation avec la propagation des chevaux de Troie et d'autres menaces pour les appareils intelligents et informera nos utilisateurs de tous les événements intéressants dans ce domaine. Les produits antivirus Dr.Web détectent et suppriment avec succès les programmes malveillants nommés dans la revue. Par exemple, il réalise avec succès
la fonction de scan à distance de la télécommande que nous avons effectuée pour l'IoT.