Το Internet of Things (IoT) έχει γίνει αναπόσπαστο μέρος της καθημερινής μας ζωής. Ωστόσο, με την αυξανόμενη χρήση συσκευών IoT, παρουσιάστηκε αύξηση και των κυβερνοεπιθέσεων εναντίον τους τα τελευταία χρόνια, χρησιμοποιώντας διάφορα προς εκμετάλλευση τρωτά σημεία. Ένας παράγοντας που συμβάλλει στην αύξηση αυτή είναι ο ταχύς ψηφιακός μετασχηματισμός που σημειώθηκε σε διάφορους τομείς, όπως η εκπαίδευση και η υγειονομική περίθαλψη, κατά τη διάρκεια της πανδημίας. Αυτός ο μετασχηματισμός, λόγω της ανάγκης για επιχειρησιακή συνέχεια, συχνά λάμβανε χώρα χωρίς να λαμβάνονται δεόντως υπόψη τα μέτρα ασφαλείας, αφήνοντας τις όποιες ευπάθειες στη θέση τους.
Οι εγκληματίες του κυβερνοχώρου γνωρίζουν ότι οι συσκευές IoT αποτελούν ένα από τα πιο ευάλωτα μέρη των δικτύων, με τις περισσότερες να μην προστατεύονται ή να μην γίνεται σωστή διαχείρισή τους. Σε συσκευές IoT όπως κάμερες και εκτυπωτές, τα τρωτά σημεία τους και άλλες τέτοιες μη διαχειριζόμενες συσκευές μπορούν να επιτρέψουν άμεση πρόσβαση και σημαντική παραβίαση απορρήτου, επιτρέποντας στους επιτιθέμενους μια αρχική βάση σε εταιρικά δίκτυα, πριν διαδοθούν μέσα στο παραβιασμένο δίκτυο.
Τους πρώτους 2 μήνες του 2023, σχεδόν κάθε εβδομάδα, κατά μέσο όρο το 54% των οργανισμών στοχοποιήθηκαν από αυτές τις απόπειρες επίθεσης, με μέσο όρο σχεδόν 60 επιθέσεις ανά οργανισμό την εβδομάδα να στοχεύουν συσκευές IoT – 41% υψηλότερο από το 2022 και υπερτριπλάσιο αριθμό επιθέσεων από πριν από 2 χρόνια. Αυτές οι συσκευές IoT που δέχονται επίθεση κυμαίνονται από μια ποικιλία κοινών συσκευών IoT όπως δρομολογητές, κάμερες IP, DVR (ψηφιακές συσκευές εγγραφής βίντεο) έως NVR (συσκευές εγγραφής βίντεο δικτύου), εκτυπωτές και πολλά άλλα. Οι συσκευές IoT, όπως ηχεία και κάμερες IP, έχουν γίνει όλο και πιο συχνές σε περιβάλλοντα απομακρυσμένης εργασίας και μάθησης, παρέχοντας στους εγκληματίες του κυβερνοχώρου πληθώρα πιθανών σημείων εισόδου.
Η τάση αυτή παρατηρήθηκε σε όλες τις περιφέρειες και τους τομείς. Η Ευρώπη είναι η περιοχή που πλήττεται επί του παρόντος από τις περισσότερες επιθέσεις που στοχεύουν συσκευές IoT, με μέσο όρο σχεδόν 70 τέτοιες επιθέσεις ανά οργανισμό κάθε εβδομάδα, ακολουθούμενη από την APAC με 64, τη Λατινική Αμερική με 48, τη Βόρεια Αμερική με 37 (η μεγαλύτερη αύξηση από το 2022, τάξης 58%) και την Αφρική με 34 εβδομαδιαίες κυβερνοεπιθέσεις IoT ανά οργανισμό.
Ο τομέας της εκπαίδευσης και της έρευνας αντιμετωπίζει σήμερα μια άνευ προηγουμένου αύξηση των επιθέσεων που στοχεύουν συσκευές IoT, με 131 εβδομαδιαίες επιθέσεις ανά οργανισμό – περισσότερο από το διπλάσιο του παγκόσμιου μέσου όρου και μια εκπληκτική αύξηση 34% από το προηγούμενο έτος. Άλλοι τομείς σημειώνουν επίσης αύξηση των επιθέσεων, με τους περισσότερους να σημειώνουν διψήφια ανάπτυξη σε σύγκριση με το 2022.
Προηγούμενες εκθέσεις της Check Point Research αποκάλυψαν ότι οι χάκερ προτιμούν να στοχεύουν τα σχολεία ως «εύκολους στόχους» λόγω της αφθονίας των προσωπικών δεδομένων που είναι αποθηκευμένα στα σχολικά δίκτυα, καθιστώντας τόσο τους μαθητές όσο και τα σχολεία ευάλωτα. Η μετάβαση στην απομακρυσμένη μάθηση έχει επεκτείνει σημαντικά την επιφάνεια επίθεσης για τους εγκληματίες του κυβερνοχώρου, καθώς η εισαγωγή πολυάριθμων μη ασφαλών συσκευών IoT στα σχολικά δίκτυα έχει διευκολύνει τους χάκερ να παραβιάσουν αυτά τα συστήματα. Επιπλέον, η έλλειψη επενδύσεων σε ισχυρές τεχνολογίες πρόληψης και άμυνας στον κυβερνοχώρο από τα σχολεία καθιστά ακόμη πιο απλό για τους εγκληματίες του κυβερνοχώρου να πραγματοποιούν επιθέσεις ηλεκτρονικού ψαρέματος (phishing) και να αναπτύσσουν ransomware.
Κορυφαίες επιθέσεις
Ενώ το τοπίο απειλών για εκμεταλλεύσεις ευπάθειας IoT περιέχει εκατοντάδες ευπάθειες, ορισμένες παρατηρούνται πολύ περισσότερο από άλλες στη σάρωση και τις προσπάθειες επίθεσης εναντίον εταιρικών δικτύων. Αυτά είναι τα 5 κορυφαία exploits που έχουν δει στη φύση από τις αρχές του 2023:
- MVPower DVR Remote Code Execution: Αυτό το exploit επηρεάζει κατά μέσο όρο το 49% των οργανισμών κάθε εβδομάδα.
- Dasan GPON Router Authentication Bypass (CVE-2018-10561): επηρεάζει το 38% των οργανισμών εβδομαδιαίως.
- NETGEAR DGN Command Injection: επηρεάζει το 33% των οργανισμών εβδομαδιαίως
- D-Link Multiple Products Remote Code Execution (CVE-2015-2051): επηρεάζει το 23% των οργανισμών εβδομαδιαίως.
- D-Link DSL-2750B Remote Command Execution: επηρεάζει το 14% των οργανισμών εβδομαδιαίως.
Διαδεδομένες επιθέσεις ένεσης σε συσκευές IoT
Το Command Injection αντιπροσωπεύει μια κρίσιμη και συχνά εκμεταλλευόμενη ευπάθεια σε συσκευές IoT. Οι επιτιθέμενοι μπορούν να εισάγουν εντολές στο πρόγραμμα, εκμεταλλευόμενοι τα προνόμια της ευάλωτης εφαρμογής. Η ευρεία υιοθέτηση συσκευών IoT έχει καταστήσει αυτόν τον τύπο ευπάθειας πρωταρχικό στόχο για τους εγκληματίες του κυβερνοχώρου.
Οι σαρωτές ευπάθειας χρησιμοποιούνται ευρέως για τον εντοπισμό και την εκμετάλλευση αδυναμιών σε εφαρμογές ιστού και API. Ενώ αυτά τα εργαλεία έχουν νόμιμες χρήσεις, οι επιτιθέμενοι μπορούν επίσης να τα χρησιμοποιήσουν για κακόβουλους σκοπούς. Δύο όλο και πιο δημοφιλή εργαλεία περιλαμβάνουν δοκιμές ασφαλείας εκτός ζώνης (OAST) και “Interact.sh”.
Η τεχνική σάρωσης χρησιμεύει ως εργαλείο φιλτραρίσματος για τον εντοπισμό πιθανών θυμάτων. Όταν η πολυπλοκότητα της επίθεσης είναι χαμηλή, η σάρωση έχει γίνει ένα αγαπημένο αρχικό βήμα για τους επιτιθέμενους. Η διαδικασία περιλαμβάνει την αποστολή ενός απλού ωφέλιμου φορτίου σε μια μεγάλη ομάδα, με ευάλωτους στόχους να ανταποκρίνονται στο αρχικό αίτημα, επιβεβαιώνοντας την ευπάθειά τους. Αυτή η μέθοδος εμπίπτει στην ενεργή σάρωση, το πρώτο βήμα στο MITRE Matrix for Enterprise – ένα ιεραρχικό πλαίσιο τακτικών και τεχνικών επίθεσης που χρησιμοποιούνται από εγκληματίες στον κυβερνοχώρο.
Η σάρωση επιτρέπει στους επιτιθέμενους να επαληθεύουν την ευπάθεια των στόχων τους και να διασφαλίζουν ότι λαμβάνουν μόνο το πραγματικό κακόβουλο ωφέλιμο φορτίο. Τα ευρήματα της έρευνας δείχνουν ότι κατά τη διάρκεια μιας περιόδου δοκιμών μιας εβδομάδας, τουλάχιστον το 3% των δικτύων επηρεάστηκαν από αυτή τη μέθοδο σάρωσης. Τα κορυφαία exploits που χρησιμοποιούν αυτήν τη μέθοδο επίθεσης σε συσκευές IoT περιλαμβάνουν:
- Έγχυση εντολών NETGEAR DGN
- Έγχυση εντολών Netgear R7000 και R6400 cgi-bin (CVE-2016-6277)
- Έγχυση εντολών θερμικής κάμερας FLIR AX8 (CVE-2022-37061)
- Πολλαπλή έγχυση εντολών IoT
Πώς μπορούν οι οργανισμοί να προστατευθούν από επιθέσεις IoT
Με την αυξανόμενη εξάρτηση που έχουν οι οργανισμοί από τις συσκευές IoT για καθημερινές λειτουργίες, είναι ζωτικής σημασίας να παραμείνουν σε εγρήγορση και προληπτικοί για την ασφάλεια αυτών των συσκευών. Ορισμένα βήματα που μπορούν να ληφθούν για τη βελτίωση της ασφάλειας του IoT περιλαμβάνουν:
- Αγορά συσκευών IoT από αξιόπιστες μάρκες που δίνουν προτεραιότητα στην ασφάλεια, εφαρμογή μέτρων ασφαλείας μέσα στις συσκευές πριν από τη διανομή στην αγορά.
- Εξάσκηση πολιτικών πολυπλοκότητας κωδικού πρόσβασης και χρήση ελέγχου ταυτότητας πολλών παραγόντων (MFA), κατά περίπτωση.
- Διασφάλιση της ενημέρωσης των συνδεδεμένων συσκευών με το πιο πρόσφατο λογισμικό και διατήρηση της καλής εύρυθμης λειτουργίας των συσκευών.
- Επιβολή προφίλ πρόσβασης δικτύου μηδενικής εμπιστοσύνης για συνδεδεμένα περιουσιακά στοιχεία.
- Διαχωρισμός δικτύων για IT και IoT όταν είναι δυνατόν.
Η Check Point ανακοίνωσε πρόσφατα το Check Point Quantum IoT Protect ως μέρος της έκδοσης R81.20 του Quantum “Titan”, η οποία φέρνει επανάσταση στην ασφάλεια του δικτύου, εμποδίζοντας τις πιο επικίνδυνες επιθέσεις zero-day DNS, phishing και IoT. Το Check Point Quantum IoT Protect βοηθά τους οργανισμούς στην αυτόματη ανακάλυψη και προστασία των περιουσιακών στοιχείων IoT μέσα σε λίγα λεπτά.
Καθώς η τεχνολογία συνεχίζει να εξελίσσεται, το ίδιο θα συμβεί και με την πολυπλοκότητα και τη συχνότητα των κυβερνοεπιθέσεων. Εφαρμόζοντας ισχυρά μέτρα ασφαλείας και παραμένοντας ενημερωμένοι σχετικά με τις τελευταίες απειλές και βέλτιστες πρακτικές, οι οργανισμοί μπορούν να προστατεύσουν καλύτερα τον εαυτό τους και τις συσκευές IoT τους από εγκληματίες στον κυβερνοχώρο.
Τα στατιστικά στοιχεία και τα δεδομένα που χρησιμοποιούνται σε αυτήν την αναφορά παρουσιάζουν δεδομένα που ανιχνεύονται από τις Threat Prevention τεχνολογίες της Check Point, αποθηκεύονται και αναλύονται στο ThreatCloud AI της Check Point. Το Check Point ThreatCloud AI παρέχει πληροφορίες απειλών σε πραγματικό χρόνο που προέρχονται από εκατοντάδες εκατομμύρια αισθητήρες παγκοσμίως, μέσω δικτύων, τελικών σημείων, κινητών τηλεφώνων και συσκευών IoT. Η ευφυΐα εμπλουτίζεται με μηχανές που βασίζονται στην τεχνητή νοημοσύνη και αποκλειστικά ερευνητικά δεδομένα από την Check Point Research – το τμήμα πληροφοριών και έρευνας της Check Point Software. Τα δεδομένα αυτής της έκθεσης έχουν ληφθεί από τις αρχές του 2021, μέχρι τον Μάρτιο του 2023.