Так ли на самом деле страшны IoT-ботнеты?
Создателями многих IoT-ботнетов являются подростки, забавляющиеся с найденными в интернете эксплоитами.
Заголовки новостей наподобие «IoT-ботнет атакует устройства корпоративного класса» могут быть весьма пугающими, однако на самом деле такие ботнеты далеко не всегда представляют собой реальную угрозу безопасности. Во многих случаях они являются делом рук подростков, забавляющихся найденными в интернете эксплоитами, и существуют в течение всего нескольких недель, пока у их создателей не появится новая игрушка. Яркий пример – ботнет Kepler, за последний месяц наделавший немало шума в ИБ-сообществе. Отличительной чертой ботсети является ее способность заражать медиавывески и презентационные системы – оборудование, пользующееся спросом преимущественно у корпоративных пользователей.
Судя по первым сообщениям о Kepler, создатели ботнета используют его для получения доступа к корпоративным сетям с целью дальнейшего заражения их более мощным вредоносным ПО. Однако на самом деле все совсем не так, уверяет исследователь безопасности из NewSky Security Анкит Анубхав (Ankit Anubhav).
Как сообщил Анубхав, работая над Kepler, оба его создателя хотели лишь поразвлечься и добавляли в него эксплоиты с сайта ExploitDB наобум. В настоящее время ботнет включает в себя 43 эксплоита (а не 27, как ранее сообщали специалисты Palo Alto Networks), выбранных случайным образом. Только один из них был создан самими авторами Kepler. «Мы всего лишь два друга, решившие весело провести время», – утверждают они.
Kepler – уже второй ботнет на счету у авторов (один из них является несовершеннолетним). Несмотря на пугающие заголовки, они не принимают его всерьез и даже не утруждают себя подсчетами количества зараженных устройств. По словам друзей, они просто тестировали разные эксплоиты, чтобы посмотреть, какой из них сможет заразить больше всего ботов. Продажа ботнета или использование его для осуществления DDoS-атак не входит в их планы.
Помимо Kepler, примером IoT-ботнета, на самом деле не такого страшного, как его изображают, является новая ботсеть из устройств Belkin WeMo, недавно обнаруженная специалистами Trend Micro. Ботнет пока не получил собственного названия, однако его создатели используют вариант вредоносного ПО Bashlite (Gafgyt), дополненный несколькими эксплоитами.
