Larry Pesce dobrze pamięta dzień, w którym krajobraz zagrożeń typu distributed denial of service (DDoS) zmienił się diametralnie. Była późna jesień 2016 roku, kiedy znajoma badaczka dołączyła do niego w laboratorium InGuardians, gdzie Pesce jest dyrektorem ds. badań. Chciała sprawdzić, jak szybko Mirai, nowatorski instalator botnetów Internet of things (IoT), przejmie oparty na Linuksie rejestrator kamer DVR, który był popularny wśród średnich firm. Przyniosła więc zakupiony rejestrator DVR, a następnie oboje ustawili oprzyrządowanie do obserwacji przed podłączeniem go do internetu przez port span rejestratora. „W ciągu około 30 minut zaobserwowaliśmy, jak coś łączy i loguje się przy użyciu domyślnego hasła rejestratora, pobiera payload i dołącza go do botnetu” - wyjaśnia. Niemal natychmiast zalogowali ruch wychodzący z rejestratora i wyłączyli go, zanim zdołał przeprowadzić atak DDoS na innych urządzeniach. Co gorsza, przy każdym ponownym uruchomieniu rejestrator resetował się do niezbyt bezpiecznego, fabrycznie zainstalowanego hasła domyślnego, mimo że zmieniono je na bezpieczne.

Obecnie IoT jest powszechnie wykorzystywany do wzmacniania ataków DDoS przeciwko swoim celom i osłabiania obecnych zabezpieczeń DDoS. Na przykład, w drugiej połowie 2021 r. ataki DDoS przekroczyły 4 Tbps, wg raportu z badań sieciowych Nokia Deepfield (część Nokii zajmująca się routingiem IP), która przeanalizowała ponad 10 000 ataków DDoS pochodzących od dostawców internetu z całego świata.

Zobacz również:

• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS
• 8 błędów strategii danych, których należy unikać
• Nokia rozszerza produkcję w USA

„IoT wykorzystujący egzotyczne urządzenia, takie jak lodówki, parkometry czy kamery do drzwi, był rzadkością. Teraz przekroczyliśmy punkt krytyczny i są one dominującym zagrożeniem” - mówi Craig Labovitz, CTO w Nokia Deepfield i autor raportu. „DDoS z tych botnetów jest coraz częściej wykorzystywany do przeciążenia systemów internetowych lub infrastruktury sieciowej, w tym zapór ogniowych. Obserwujemy również, że DDoS jest wykorzystywany jako element odwracający uwagę, aby ukryć uruchomienie bardziej niebezpiecznych ataków, takich jak oprogramowanie ransomware”.

Badanie danych DDoS przeprowadzone przez Nokię ujawniło, że tysiące rejestratorów, kamer podłączonych do Internetu, a nawet parkometrów należących do stacji benzynowych, banków i innych przedsiębiorstw zostało zwerbowanych do botnetów. Biznesowe serwery PBX i telefony VOIP również stanowią duży odsetek zainfekowanych przez boty urządzeń, zarówno w chmurze, jak i na miejscu - mówi.

Niezabezpieczone urządzenia IoT stają się armią

Jednym z kluczowych skutków dla organizacji jest utrata usług. „Organizacje płacą za pasmo wykorzystywane przez te boty w swoich przedsiębiorstwach. A w przypadku dostawców usług, ich klienci zauważą spowolnienie i przeniosą się do innego dostawcy” - przekonuje Labovitz.

Inne raporty wskazują, że urządzenia konsumenckie, zwłaszcza routery domowe, są również coraz częściej wykorzystywane jako muły w atakach wzmacniających botnety DDoS. Urządzenia te znajdują się poza sferą zarządzania ryzykiem w przedsiębiorstwie. „Teraz urządzenia pomocnicze należaceo do każdego z nas są w internecie - twoja lodówka, toster, ekspres do kawy, system zabezpieczeń domowych, telewizor. Są to urządzenia, które nie zdradzają, jak bardzo są nadużywane, ani że są nawet zainfekowane, chyba że zachowują się nieregularnie lub przestają działać” - mówi Frank Clark, starszy analityk ds. bezpieczeństwa w firmie konsultingowej Hunter Strategy. „Skąd przeciętny użytkownik miałby wiedzieć cokolwiek, nie mówiąc już o zablokowaniu bota przed wysyłaniem pakietów DoS? Pomogłoby to, gdyby producenci korporacyjnych i konsumenckich komputerów osobistych sprawili, że byłyby one domyślnie bezpieczne, ale to mrzonka”.

Firmy muszą wzmocnić swoją obronę na dwóch frontach: zapobiegać przekształcaniu własnych urządzeń w boty wysyłające pakiety DoS oraz chronić swoje sieci, aplikacje internetowe i centra danych przed niszczącymi atakami wzmacniającymi DDoS. Muszą również zarządzać ryzykiem w przypadku, gdy ich dostawcy usług o kluczowym znaczeniu ulegną atakowi typu „wzmocnienie DDoS”

Blokowanie ataków DDoS

Firmy internetowe, usługi w chmurze i dostawcy internetu były głównymi celami przedsiębiorstw dla ataków DDoS w drugiej połowie 2021 r., a większość ataków pochodziła z chińskich IP - wynika z raportu „DDoS Trends” autorstwa Cloudflare. W I kwartale 2022 r. większość IP wysyłających pakiety DDoS miała siedzibę w Stanach Zjednoczonych. Ataki DDoS w warstwie aplikacji internetowych wzrosły o 164% w latach 2021-2022, według raportu Cloudflare, podczas gdy ataki w warstwie sieciowej wzrosły o 71%. „Widzieliśmy trwałe ataki na dostawców VoIP, które wpływają na wszystkich ich klientów biznesowych korzystających z tej usługi” - mówi Patrick Donahue, wiceprezes ds. produktu w Cloudflare, która blokuje średnio 86 miliardów zagrożeń DDoS dziennie. „Czasami widzimy, że dostawcy usług internetowych są przytłoczeni, co następnie wpływa na ich klientów korporacyjnych i to jest często, gdy dostawcy usług internetowych przychodzą do nas, aby chronić całą swoją sieć”.

Starsze firewalle, rozmieszczone fizycznie w centrum danych, mogą również stać się kolejnym punktem zaporowym dla denial of service, ponieważ nie są w stanie skalować się do dzisiejszych wzmocnionych ataków. Najlepiej więc dokładnie określić, gdzie znajdują się słabe punkty.

„DDoS jest również powszechnie wykorzystywany jako zasłona dymna do ukrycia innych, bardziej złośliwych działań w sieci, w szczególności działań związanych z oprogramowaniem ransomware, dlatego ustawienie alarmów dotyczących aktywności DoS przy pierwszym zauważeniu ma kluczowe znaczenie” - dodaje Donahue.

Jednak wykrycie DDoS na dużą skalę uruchomionego przez IoT jest trudniejsze, ponieważ porwane urządzenia IoT używają legalnych pakietów, które wysyłają legalne żądania internetowe, których tradycyjna inspekcja pakietów nie jest w stanie wyszukać. Tradycyjne systemy obronne są przystosowane do wykrywania znanych wzorców fałszywych adresów IP, nagłówków i ładunków. Ze względu na samą wielkość ruchu, blokowanie wzmocnionych ataków DDoS nie jest możliwe lub praktyczne dla większości organizacji, więc ochrona wykraczająca poza podstawową inspekcję pakietów i analizę behawioralną jest krytyczna. „Cloudflare rozprowadza ruch po swojej globalnej sieci, która może absorbować ogromne ataki DDoS. Większość organizacji nie ma takich możliwości” - mówi Clark. Cloudflare blokuje przychodzące pakiety DDoS i żądania jak najbliżej ich źródła. Nokia Deepfield rozwiązuje ten problem w warstwie routingu, stale monitorując ruch w swojej globalnej sieci i aktualizując swoje dane wywiadowcze, gdy w ich kanałach pojawiają się nowe trendy DDoS.

Zapobieganie porywaniu urządzeń

Nie jest zaskoczeniem, że urządzenia IoT realizują swój potencjał botnetowy. Ich procesory są bardziej wydajne, czasy przetwarzania szybsze, a one same są rozproszone na całym świecie on-premises i w chmurze. Clark zapewnia, że urządzenia konsumenckie i biznesowe są wcielane do tych sieci, ponieważ brakuje im podstawowych kontroli bezpieczeństwa, a także dlatego, że botnety złożone z urządzeń IoT będą znacznie trudniejsze do zlikwidowania. Organizacje muszą więc zapobiegać temu, aby ich własne urządzenia IoT nie zostały wciągnięte do botnetu, mówi Piotr Kijewski, prezes Fundacji Shadowserver i założyciel Polish Honeynet Project. „Jeśli menedżerowie IT chcą zmniejszyć ilość ataków DDoS na swoje organizacje, muszą zacząć od zabezpieczenia własnej sieci i zmniejszenia powierzchni ataku. To zaczyna się od prowadzenia inwentaryzacji aktywów IoT, które są eksponowane w Internecie”.

Fundacja Shadowserver, która zaczęła śledzić botnety wysyłające ataki DDoS w 2005 roku, naliczyła 560 000 oddzielnych ataków DDoS w ciągu 30 dni od połowy marca do połowy kwietnia 2022 roku. Chociaż nie monitoruje specjalnie botów IoT, Kijewski mówi, że wiele botnetów jest zbudowanych na szczycie kamer IP, systemów wideo DVR i NVR, routerów domowych i dołączonych urządzeń pamięci masowej. „W przypadku ataków wzmacniających widzimy, że najpopularniejszymi wektorami są otwarte usługi NTP, LDAP i SNMP. Dlatego ważne jest, aby starać się ograniczyć liczbę otwartych usług, które mogą być nadużywane” - radzi Kijewski.

W przypadku tych urządzeń IoT, których nie da się załatać, zaktualizować lub zabezpieczyć, monitoring sieci powinien być dostrojony do wykrywania odchyleń w działaniach i ruchu wychodzącym z tych urządzeń, wskazujących na ich przejęcie. Pesce z InGuardians sugeruje również oddzielny VLAN lub NAC, przez który można podłączyć IoT. „To są skuteczne kontrole sieci i podstawa zerowego zaufania, które obejmuje monitoring i inwentaryzację aktywów. Kiedy wiesz, co jest w Twojej sieci i z jakich komponentów się składa, możesz aktywnie monitorować nietypową aktywność, w tym powiadomienia o nowych urządzeniach dodanych do sieci. I, gdy to możliwe, upewnić się, że łatki są stosowane”.

„Jednym z pewników infekcji botnetu wewnątrz własnej sieci jest powolna wydajność”, dodaje Labovitz z Nokii, który zaleca dostrojenie systemów monitorowania sieci do wykrywania i natychmiastowego alarmowania o spowolnieniach sieci. Przedsiębiorstwa polegające na usługach takich jak VoIP i łączność powinny również szukać rozwiązań u swoich operatorów i sprzedawców, dodaje. „To zbliża nas do źródła. Musimy rozwiązać to na poziomie przemysłu i zachęcić do stosowania najlepszych wspólnych praktyk, takich jak podpisane i bezpieczne BGP, filtrowanie i 'hydraulika' IP w Internecie”

Źródło: CSO