Tavaly év végén 700 százalékkal több IoT-eszközök támadására fejlesztett rosszindulatú kódot azonosított a felhős kiberbiztonsági megoldásokat fejlesztő Zscaler, mint egy évvel korábban. A cég kutatását összegző, közelmúltban kiadott jelentés (PDF) több mint 500 millió IoT-tranzakciót elemezve jutott erre a megállapításra. Az azonosított támadó kódok 97 százaléka a Gafgyt és a Mirai botnethez köthető.

Az IoT önjáróan küld-fogad adatokat

A támadások ennyire durva elszaporodásában jelentős szerepet játszottak a pandémia miatt elrendelt lezárások, az irodák kiürülése. Az IoT-eszközök ugyanis továbbra is kapcsolódtak a vállalati hálózatokhoz. A kutatás 212 gyártó 553 különböző eszköztípusát azonosította. Ezek között set-top boxok (29 százalék), okostévék (20 százalék) és okosórák is (20 százalék) voltak. De találtak IP-kamerákat, okoshűtőket és netre kapcsolódó autókat is (főleg Teslákat és Hondákat).

Ez önmagában még a kisebbik baj, de mint a kutatás kiderítette, háromnegyedük (76 százalék) továbbra is titkosítatlan plain text csatornákon kommunikál. Az jó hír ugyan, hogy némileg emelkedett a titkosított csatornát használó eszközök aránya, de 24 százalékos arányuk még mindig aggasztóan alacsony.

A legmegdöbbentőbb, hogy a vállalati eszközök (digitális táblák, videorögzítők, IP-kamerák és -telefonok, nyomtatók, hálózati eszközök) közel 98 százaléka is titkosítatlanul kommunikál. A legjobb helyzetet az egészségügyi eszközöknél találták, de ott is csak az eszközök fele használt titkosított csatornát.

Az adatforgalom iránya is érdekes. A legtöbb az IoT-eszköz által küldött adat célországa az USA, az Egyesült Királyság és Írország volt. De az eszközök több mint tizedéről az adatcsomagok Kínában és Oroszországban landoltak. A Zscaler nem állítja, hogy ez feltétlenül rosszindulatú tevékenységre utal, de ismerve a két ország adatokhoz való viszonyát, mindenképpen kockázatot jelent, hogy az IoT-eszközök lényegében automatikusan továbbítanak oda adatokat.

A vizsgálat 15 napja alatt mintegy 300 ezer olyan tranzakciót azonosítottak, melyek IoT malware-ekkel és exploitokkal, valamint C&C (Command-and-Control) kommunikációval hozhatók összefüggésbe. Mint fentebb már említettük, a rosszindulatú kódok nagy többségét (97 százalék) a Gafgyt és Mirai tevékenységéhez lehetett kötni, mellettük azonban megjelentek más feltörekvő kódok is, például a VPNFilter és a Hajime. Utóbbiak sem ma kezdték, a Hajime, amit sokan fejlettebb támadótechnikának gondolnak, mint a Mirai, 2017-ben tűnt fel; a VPNfiltert pedig 2018-ban azonosította a Cisco Talos. A malware-ek többsége (56 százalék) Kínához köthető, de jelentős az egyesült államokbeli (19 százalék) és indiai (14 százalék) kapcsolat is.

Kézenfekvő megelőző intézkedések is elmaradnak

Komoly gond, hogy a felhasználók többsége még mindig nem módosítja az IoT-eszközök gyári jelszavát, később pedig nem foglalkoznak a frissítések, biztonsági javítások telepítésével. Szintén probléma az eszközök láthatóságának szabályozása. Mint a kutatók írják összegzésükben, az IoT-eszközök többsége ún. nem menedzselt eszköz, ezért esetükben különösen fontos lenne a hálózati forgalom elemzése. Olyan architektúrát kellene mögéjük tenni, amely átfogóan, tehát a felügyelet nélküli IoT-eszközöknél is biztosítja mind a titkosított, mind a titkosítatlan hálózati forgalom ellenőrzését.

Mindezt érdemes kiegészíteni az ún. zero trust modellek alkalmazásával. Ez olyan architektúrát jelent, amelyben a hálózaton a felhasználók és az eszközök csak akkor és ahhoz férnek hozzá, amikor és amihez az adott feladat elvégéséhez szükség van. Dinamikus indentitásalapú hitelesítéssel az is biztosítható, hogy az illetékes felhasználó vagy eszköz fér-e hozzá a hálózathoz.