Rekordowy botnet IoT, który nigdy nie istniał – wyjaśniamy

Ataki DDoS to niewyrafinowana, lecz sprawdzona metoda blokowania usług sieciowych. Wykorzystywana jest zarówno przez grupy cyberzbójów, jak i aktorów powiązanych z państwami. Już jakiś czas temu zauważono, że urządzenia Internetu Rzeczy (IoT, Internet of Things), których bezpieczeństwo jest kwestią dyskusyjną, mogą być idealnym źródłem ruchu wykorzystywanego do ataku odmowy usługi (DoS, Denial of Service). Na przykład botnet Mirai powstał w 2016 roku i wykorzystywał publicznie dostępne urządzenia jak routery czy kamery IP, które były widoczne z Internetu.

Ostatnio sieć obiegł news, który niemal z miejsca stał się wiralem. Dziennikarz na podstawie rozmowy z ekspertem od bezpieczeństwa IT (prawdopodobnie pracownik Fortinetu) napisał, że 3 miliony inteligentnych szczoteczek do zębów zostało wykorzystanych w ataku DDoS jako botnet. Na tę chwilę, udało nam się potwierdzić jedną informację z tego artykułu. Tak, inteligentne szczoteczki do zębów rzeczywiście istnieją :) 

Mirai infekował urządzenia bezpośrednio podłączone do sieci Internet. W przypadku kamer IP dostępność z zewnątrz również nie jest zaskakująca. Trudno natomiast wytłumaczyć fakt przekierowania zewnętrznego ruchu sieciowego do… szczoteczki? Z reguły urządzenia takie nie potrzebują bezpośredniego połączenia z Internetem, wykorzystując do synchronizacji aplikację mobilną i sparowanie z telefonem przez Bluetooth. Nawet gdyby założyć, że dużo mniej popularne na rynku urządzenia mają wbudowane WiFi, to dostęp do nich spoza sieci lokalnej byłby bardzo skomplikowany, zwłaszcza jeśli mówimy o 3 milionach, przejętych przez atakujących, szczoteczkach. Infekcja takiego urządzenia musiałaby więc zostać dokonana w inny sposób, np. poprzez kompromitację łańcucha dostaw i wymuszenie wgrania złośliwej aktualizacji. 

W przypadku tak dużego botnetu informacje o ataku, wygenerowanym ruchu, a także analiza malware, który jest wykorzystywany do kontroli urządzeń, byłaby publiczna. Tymczasem na tę chwilę nie ma wskazań, żeby do takiego zdarzenia doszło. 

Dziennikarze portalu BleepingComputer również wzięli pod lupę sensacyjne doniesienia i spytali rzekome źródło tej sensacyjnej wiadomości – firmę Fortinet.

„To clarify, the topic of toothbrushes being used for DDoS attacks was presented during an interview as an illustration of a given type of attack, and it is not based on research from Fortinet or FortiGuard Labs. It appears that due to translations the narrative on this topic has been stretched to the point where hypothetical and actual scenarios are blurred.”

Cóż, hipotetyczna i bardzo malownicza historia została źle zrozumiana przez dziennikarzy technologicznych i spowodowała niemałe zamieszanie. 

~fc