Botnety internetu věcí se od dob Mirai posunuly. Poškození, které tento v podstatě primitivní botnet napáchal pomocí snad ještě jednodušších útoků – DDoS neboli Distributed Denial of Service – už tehdy byla majestátní.
Současný malware, který infikuje špatně zabezpečené a jinak zranitelné routery, IP kamery a řady dalších zařízení nyní, je sofistikovanější – a méně vybíravý. Na Linuxu zaměřené operační systémy už nejsou ani zdaleka v bezpečí.
Hybridní botnety jsou napsány specificky tak, aby ohrozily vícero platforem najednou. Jsou schopné zacílit linuxová zařízení, smartphony s Androidem, počítače s Windows, a dokonce i s macOS. Příkladem takové hrozby je InterPlanety Storm – IPStorm – botnet, který je tu už od začátku roku 2019 a momentálně jej tvoří kolem 13 500 tisíce infikovaných zařízení z 84 zemí.
Proč je IPStorm jiný?
Botnet se odlišuje především tím, že je postaven na protokolu IPFS. Ten slouží pro sdílení data v distribuovaném souborovém systému. Infikovaná zařízení se tak stanou součástí peer-to-peer sítě, která vzájemně interaguje na přímo. Botnet je tak, bohužel, odolnější vůči pokusům ho zneškodnit.
Dříve by něco podobného nebyl takový problém, protože jakákoliv P2P aktivita v podnikové síti byla vnímána jakožto podezřelá. Jak ale podotýkají odborníci z Anomali ve své analýze, „v současné době využívá P2P technologie stále více a více legitimních služeb. Microsoft Windows 10 má kupříkladu funkci zvanou Delivery Optimization, která umožňuje aktualizace systému v zařízeních v P2P síti.“ Botnet se právě legitimní aktivitou maskuje, úplně stejným způsobem, jakým hackeři využívají webové služby ke skrývání běžného malwaru. Botnet je postupem jeho šíření nemožné odebrat bez toho, aby byly zároveň odebrány legitimní, neškodné části P2P sítě.
IPFS je v základu open source projekt, který umožňuje mnohé, včetně nahrávání dat a webových stránek přístupných skrze prohlížeč. Nativní podporu nabízí Opera pro Android, webovou bránu IPFS využívá kupříkladu Cloudflare.
IPStorm samotný je napsán v Golangu, multiplatformním programovacím jazyce, který dokáže běžet na různých operačních systémech a architekturách procesoru. První verze IPStorm z roku 2019 cílila jen na Windows pomocí příkazů v PowerShellu, od letošního června ale firma Bitdefender upozornila na verze určené pro Linux na architekturám ARM a Darwinu, na kterém staví macOS. Nejnovější verze malwaru cílí také na zařízení s Androidem.
Jak se IPStorm šíří a jak se bránit?
Šíří se vcelku jednoduše pomocí SSH brute-force útoků. Většina botnetů získává nová zombie zařízení právě tímto způsobem, neboť hodně IoT zařízení stále trpí na slabé zabezpečení. To je obecně lepší u novějších přístrojů, ale starší zařízení bývají velmi špatně zabezpečení vlivem nedostatečné standardizace.
Na Androidu zneužívá botnet službu ADB, Android Debug Bridge. IPStorm míří primárně na Asii, 60 % nakažených zařízení je z Hong Kongu, Jižní Korey a Tchaj-wanu. Dalších 8 % tvoří Rusko, 6 % Brazílie, 5 % Kanada a Spojené Státy, 3 % Čína a první evropská země je až Švédsko, které tvoří další 3 % nakažených zařízení. Celkem je v současnosti infikovaných více než 13 500 zařízení v 84 zemích.
Jak se chránit? Zajistit, že k internetu připojené služby mají dostatečné zabezpečí od výrobce i ze strany vaší firmy. Projekt využívané porty ve firemní síti může pomoci odhalit zařízení internetu věcí s otevřeným rozhraním, které lze zablokovat nebo izolovat.
Speciální pozornost je dobré věnovat routerům, protože ty slouží jako vstupní brána do celé sítě. Aktualizace firmwaru, změna standardních přístupových údajů a podobně mohou významně pomoci firmu zabezpečit.