01.09.2017

Зарубежные ИБ – специалисты обнаружили публикацию с крупным списком учетных данных для различных IoT – устройств, содержащим IP – адреса устройств, логины и пароли

В конце августа зарубежные ИБ – специалисты обнаружили публикацию с крупным списком учетных данных для различных IoT – устройств, содержащим IP – адреса устройств, логины и пароли. В большинстве случаев это были учетные данные по умолчанию, то есть admin:admin, root:root и так далее.
Был составлен следующий «рейтинг» паролей, которые чаще всего использовались в устройствах:

admin - 4621
123456 - 698
12345 - 575
xc3511 - 530
GMB182 - 495
Zte521 - 415
Password - 399
oelinux123 - 385
jauntech - 344
1234 – 341

Все приведенные учетные данные, кроме GMB182, являются паролями по умолчанию для различных устройств.
Эксперты полагают, что списком много месяцев пользовались преступники, управляющие IoT – ботнетами. Так, 143 из 144 пар логин-пароль являлись известными дефолтными комбинациями, а 60 из них уже использовались известным вредоносным ботнетом Mirai.

Известно, что используя главным образом уязвимости в IP-камерах, видеорегистраторах и маршрутизаторах, ботнеты берут устройства под свой контроль и в дальнейшем используют для вредоносных действий, например, для осуществления масштабных DDoS-атак. Скомпрометированная техника также может быть использована для сканирования интернета на предмет устройств с аналогичными уязвимостями для последующего присоединения их к ботнету.

Согласно недавним исследованиям, в мире насчитывается около 7,5 миллионов потенциально уязвимых камер и около 4 миллионов маршрутизаторов.
В связи с этими событиями декан института SANS Йоханнес Б. Ульрих решил провести эксперимент и намеренно подключил к Сети незащищенный видеорегистратор, записывая все попытки входа в систему в течение двух дней. Устройство использовало одно из опубликованных в списке сочетаний логина и пароля, и в течение 45 часов было зафиксировано в общей сложности 1254 попытки входа с разных IP-адресов, т.е. попытка авторизации совершалась каждые 2 минуты с использованием скомпрометированных учетных данных.

Позднее Ульрих с помощью поисковика Shodan получил информацию о 592 атакующих устройствах и обнаружил, что в основном атаки проводились устройствами от производителей TP-Link, AvTech, Synology и D-Link, а также отметил схожесть действий атакующих с поведением ботнета Mirai.
Эксперты ФГУП «ЗащитаИнфоТранс» отмечают, что проблема уязвимости устройств IoT актуальна в отношении информационных систем транспортной отрасли. К таким устройствам могут быть отнесены устройства телеметрии, используемые для мониторинга транспортных средств, в том числе в системе ЭРА-ГЛОНАСС, системы видеонаблюдения, устанавливаемые в аэропортах, на вокзалах и других объектах транспортной инфраструктуры, а также портативные видеорегистраторы и многое другое.
Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют не использовать легкоугадываемые и стандартные пароли устройств и следовать следующим требованиям при выборе пароля:

· в пароле не должна использоваться персональная информация, легкоугадываемые и повторяющиеся последовательности символов, последовательности символов, совпадающие с ранее использовавшимися паролями;
· пароль должен иметь длину не менее восьми символов, в состав которых должны входить буквы латинского алфавита в верхнем и нижнем регистрах, цифры и специальные знаки;
· пароли должны меняться на регулярной основе не реже 1 раза в 90 дней;
· все начальные пароли, установленные производителями устройств, должны быть немедленно изменены при начале использования устройства.