Можливо, вам відомо, що щодня ваші комп’ютери, Wi-Fi роутери, мобільні пристрої, розумну техніку в пошуках вразливостей або слабкого захисту сканують хакери з усього світу. І в разі виявлення слабозахищеного або вразливого пристрою вони зламують його і використовують для розсилки спаму або видобутку криптовалют. У гіршому випадку зашифрують ваші дані і вимагатимуть гроші або вчинять зі зламаного пристрою протиправні дії, внаслідок яких правоохоронні органи нагрянуть до вас з обшуком.
Цю статтю присвячено масовому злому пристроїв – загрозі, актуальній для кожного з нас. Я пропоную розділити її на кілька частин: що ламають, навіщо ламають, як ламають і як від цього захиститися.
Що ламають
Насправді, ламають усе, що можуть зламати, аж до розумних будинків. Вимога одна – пристрій повинен мати доступ в інтернет. Особливий інтерес для хакерів становлять комп’ютери, сервери, мобільні пристрої та роутери, оскільки їх легше монетизувати, іншими словами, заробити на них гроші.
Насамперед зловмиснику цікаво автоматично монетизувати зламані пристрої, наприклад, можна зламати і зашифрувати ваш комп’ютер. З високою часткою ймовірності на комп’ютері у вас виявиться інформація, за розшифровку якої ви будете готові заплатити. Усі дії від сканування мережі до шифрування відбуваються автоматично, зловмиснику залишається тільки підтримувати працездатність системи і виводити отримані від жертв кошти.
Зламавши вашу розумну пральну машину, не так просто монетизувати її. З іншого боку, нам відомі ботнети, що складаються з розумних речей: пральних машин, холодильників, телевізорів, чайників, кавоварок та іншої побутової техніки, навіть розумних іграшок і відеокамер. Подібні ботнети вміють і надсилати спам, і проводити DDoS-атаки (до речі, вражаючої потужності), і майнити біткоїни, хоча і сильно поступаючись зламаним персональним комп’ютерам.
Найвідоміший подібний ботнет – Mirai. Цей ботнет брав участь у найпотужнішій атаці на експерта в галузі безпеки Брайана Кребса, унаслідок якої його сайт було виведено з ладу.
Найкращим прикладом, що демонструє міць ботнету Mirai, є відома атака на найбільшого DNS-провайдера США 21 жовтня 2016 року, коли недоступними виявилися деякі сервіси на кшталт Twitter і Amazon, а на всьому східному узбережжі Штатів мережа працювала із серйозними обмеженнями.
Так-так, настав той самий час, коли чайники і кавомашини можуть атакувати цілу державу, поки, щоправда, в інтернеті. Пізніше Mirai було доопрацьовано для майнінгу біткоїнів на розумних пристроях. Хоча ефективність розумних пристроїв для майнінгу біткоїнів мінімальна, вона не вимагає від власників особливих витрат. Mirai хоча і найяскравіший, але далеко не єдиний приклад, подібним чином функціонують і інші ботнети, наприклад Hajime.
Навіщо ламають
Напевно, найприбутковіший спосіб монетизації – шифрування вмісту пристроїв і вимога викупу. Комп’ютер жертви зламують, диски шифрують, ключ шифрування надсилають на сервер зловмисників, а жертві видають інформацію, як оплатити і потім розшифрувати свої дані.
Якщо ваші дані зашифрували, не поспішайте платити. Наприклад, для низки шифрувальників створено програмне забезпечення для дешифрування даних без оплати зловмисникам. Подібне стосується шифрувальників GandCrab, XData, Bitcryptor і багатьох інших.
Деякі програми лише імітують шифрування, приховуючи файли та вимагаючи викуп. Їх ще називають фейковими шифрувальниками, наприклад Fake Cerber.
У більшості випадків під час зіткнення з фейковими вимагачами допомагає перезавантаження пристрою, рідше доводиться трохи покопатися в налаштуваннях системи, щоб отримати доступ до прихованих файлів. Іноді творці програм-здирників просто обманюють жертв: їхні програми вміють тільки шифрувати без можливості дешифрування файлів. Це вайпери, що маскуються під здирників.
Прикладом такого вайпера був сумнозвісний Petya, який після шифрування даних вимагав викуп, не маючи ні можливості відстежити, від кого конкретно прийшов платіж, ні розшифрувати дані. Petya – це не вимагач, це добре продумана кіберзброя масового ураження, мета якої – знищувати і виводити з ладу.
Іноді здирник перетворюється на вайпера внаслідок помилки, так було у шифрувальника AVCrypt, де через помилку розробників файли видалялися безслідно. Для вимоги викупу можна не шифрувати файли і не імітувати їхнє шифрування, іноді жертву намагаються просто залякати, наприклад, передачею її особистих даних спецслужбам.
LeakerLocker – здирник для Android-пристроїв – погрожував відправити персональні фото, SMS, історію дзвінків, історію браузера за всім списком контактів телефону. На роздуми і оплату давалося 72 години. Як не дивно, для багатьох із нас простіше втратити дані, ніж допустити, щоб вони були розіслані всім друзі, колегам, знайомим, родичам. Та й вимагав LeakerLocker не так багато – всього $50.
Майнінг криптовалют
Ймовірно, це один із найбезпечніших способів монетизації, за якого зламаний пристрій просто майнитиме криптовалюту для зловмисників. Для жертви це позначиться зниженням продуктивності, швидшим виходом з ладу комплектуючих пристрою через постійне високе навантаження і помітним збільшенням рахунків за електрику.
У деяких країнах, де майнінг криптовалют заборонений, це може спричинити проблеми із законом.
DDoS
Якщо говорити простими словами, DDoS – це створення великої кількості запитів для уповільнення роботи або повного виведення з ладу кінцевої мети. Як правило, метою є сервер, але насправді атаку можна провести навіть на Wi-Fi роутер, відключивши в потрібний момент інтернет жертві. Зламаний комп’ютер за командою зловмисника починає масово надсилати запити, це ж роблять інші жертви доти, доки в цілі атаки не закінчуються ресурси для їхнього опрацювання.
Паралельно справжній клієнт під час спроби під’єднатися, наприклад для купівлі на сайті, або довго чекає на обробку свого запиту, або взагалі не може під’єднатися до сайту. І, природно, клієнт піде, найімовірніше, до конкурента мети атаки, бізнес втрачатиме клієнтів, а разом з ними і гроші.
Є дві основні моделі монетизації DDoS-ботнету.
- Перша – атакувати комерційні проєкти і вимагати гроші.
Уявіть ситуацію: ви – власник великого інтернет-магазину, ваш сайт приносить вам гроші, і тут починається DDoS-атака. Ви починаєте втрачати гроші, і в цей момент на вас виходить організатор атаки і пропонує угоду: ви платите йому гроші, а він зупиняє атаку.
Варіантів у вас три: перший – втрачати гроші і чекати, поки зловмисникам набридне, – це, безумовно, не найкращий варіант для бізнесу, другий варіант – заплатити гроші сервісам, які займаються захистом від DDoS, і третій – заплатити зловмиснику.
За начебто очевидного другого варіанту – поставити захист від DDoS, він має свої мінуси: платити за гарний захист доведеться багато і регулярно, налаштування захисту за відсутності фахівців у штаті займе час, зловмисник же готовий зупинити атаку просто зараз за менші кошти. І багато хто платить, хоча ніщо не заважає зловмиснику після оплати продовжити атаку або періодично повторювати свої атаки.
- Друга модель монетизації – надавати послуги DDoS-ботнету за винагороду.
Сьогодні бізнес-війни дедалі активніше переміщуються в Інтернет, і DDoS стає грізною зброєю для завдання шкоди конкурентам. Напевно, у вас виникло питання про наслідки ненавмисної участі в DDoS-атаці для жертви. Мені не відомі випадки, коли ненавмисна участь у DDoS-атаці призводила б до проблем із законом, а ось проблеми під час роботи в мережі досить імовірні. Вашу IP-адресу буде додано до бази скомпрометованих IP, і сайти обмежуватимуть вас, виходячи зі своєї політики.
Наприклад, Google і багато великих сайтів можуть вимагати ввести капчу, менші сайти можуть просто заборонити вам доступ. Ваш інтернет-провайдер може обмежити вам доступ і вимагати усунути проблему.
В інтернеті ви можете знайти чимало скарг, пов’язаних із блокуванням інтернету за шкідливу активність.
Спам
Припускаю, ви стикалися зі спамом у соціальних мережах або месенджерах, коли ваш “зламаний” друг починає надсилати пропозиції із сумнівними посиланнями. Напевно, кожен із вас отримував поштою небажану рекламу, яка іноді обходить спам-фільтри.
Спам – величезна бізнес-інфраструктура нелегальної реклами. До послуг спамерів здебільшого звертаються торговці нелегальними товарами та товарами так званої сірої категорії, як-от підпільна фармакологія, або творці фінансових пірамід.
Як правило, це надприбуткові бізнеси і вони готові виділяти на рекламу значні кошти. Працювати з великими рекламними майданчиками на кшталт Google або Facebook їм заборонено (хоча і тут є шляхи обходу), тому вони активно закуповують рекламу на сірому ринку.
Іноді спам використовують для шахрайства, наприклад, зламавши акаунт у соціальній мережі, починають листування з друзями жертви, просячи терміново дати грошей у борг. Якщо з ваших акаунтів почнуть розсилати спам, їх можуть заблокувати, та й друзі вам спасибі не скажуть, особливо позичивши гроші шахраєві.
Якщо йдеться про поштовий спам, ваша IP-адреса може потрапити в чорні списки спамерів, і пошта з вашого комп’ютера йтиме до папки “Спам” (якщо її надсилатимуть зі встановленого поштового клієнта). Набагато більші проблеми спричиняє потрапляння IP-адрес у чорні списки спамерів для вашого інтернет-провайдера, тому він може вжити заходів аж до вимкнення інтернету.
Подібні випадки, принаймні в Україні, не рідкість.
Приховування скоєних злочинів
Злочинцям, які вчиняють кіберзлочини, необхідно приховувати своє справжнє місцезнаходження, і для цих цілей їм потрібні інструменти: віддалені робочі столи, VPN, SSH і proxy. Скомпрометований комп’ютер жертви може бути використаний як віддалений робочий стіл, на якому буде запущено програму для здійснення злочинних дій.
Наприклад, кардерам необхідні віддалені столи для гри в покер на крадені гроші з метою подальшого їхнього переведення в готівку. На зламаному Wi-Fi роутері може бути розгорнуто VPN, через який шахраї скоюватимуть злочини. Скомпрометований мобільний телефон може бути використаний як proxy.
І ось у цьому випадку наслідки для жертви значно серйозніші: зламані пристрої можуть бути використані для продажу наркотиків, терористичної діяльності, кардингу, шахрайства. Це не обов’язково призведе до обшуку в оселі жертви чи арешту, хоча подібних історій чимало, проте жертва ризикує потрапити до списку підозрюваних і в розробку правоохоронних органів.
Здійснення комп’ютерних атак
Для комп’ютерних атак потрібне сканування мережі та, залежно від типу атаки, підбір паролів або експлуатування вразливостей. Усе це потребує ресурсів. Зловмисникам треба орендувати сервери, платити гроші, сервери блокуватимуться через скарги, що надходитимуть, вимагатимуть періодичного обслуговування… Але є альтернативний безоплатний варіант: комп’ютер жертви може стати ланкою в ланцюзі зловмисників і бути використаний для подальшого злому інших пристроїв.
Більшість шкідливих програм поширювалися саме так: скомпрометований комп’ютер заражав інші комп’ютери, ті своєю чергою треті. Це може призвести до реальних проблем, оскільки в процесі атаки скомпрометований пристрій скануватиме інтернет і шукатиме пристрої, на які можна провести атаку: це можуть бути урядові сервери.
Показ реклами
Цей спосіб монетизації, як правило, використовується для зламаних роутерів. На скомпрометованому Wi-Fi роутері відбувається підміна основного DNS-сервера, і всі запити до сайтів проходять через сервер зловмисника, де жертві додається реклама. Найпростіший варіант підміни – періодична переадресація на рекламний лендінг, водночас не важливо, який сайт буде введений користувачем.
Складніший варіант передбачає підміну рекламних блоків Google і банерів на діючих сайтах. Напевно, ви здогадуєтеся, що зловмисники не надто переймаються етичною стороною пропонованої реклами. Вам може пропонуватися і встановити шкідливе програмне забезпечення, і придбати сумнівні товари, і вкласти кошти в різного роду шахрайські проєкти, наприклад фінансові піраміди.
Зазвичай при цьому крадуться акаунти соціальних мереж, пошти, сайтів знайомств, форумів та інших ресурсів.
Крадіжка акаунтів
Ваші акаунти Gmail, Facebook, Twitter, акаунти на сайтах знайомств – це товар, і його можна продати на чорному ринку. Вкрадені акаунти надалі можуть бути використані для розсилки спаму, шахрайства та інших протиправних дій.
Крадіжка може відбуватися під час підміни DNS-сервера або через шкідливе програмне забезпечення, що встановлюється в систему. Крадіжка акаунтів рідко є самоціллю, зазвичай хакери використовують це як додатковий спосіб монетизації.
Зовсім інший інтерес становлять акаунти банків і платіжних систем, це часто є основною метою багатьох шкідливих компаній. Вкрадені акаунти або переводяться в готівку хакерами самостійно, або продаються на тіньових форумах за відсоток від балансу. Іноді хакери не крадуть акаунт, а використовують підміну реквізитів.
Наприклад, ви копіюєте біткоїн-гаманець друга, куди ви хочете відправити кошти; шкідлива програма аналізує ваш буфер обміну і підміняє скопійований гаманець для біткоїнів на біткоїн-гаманець хакера.
Таким чином, скопіювавши гаманець друга, ви в підсумку надішлете гроші хакерам і, ймовірно, не відразу зрозумієте, як таке сталося. Буває, що гаманці підміняють просто на сайтах, і ви копіюєте вже змінений гаманець.
Це дуже простий спосіб монетизації, за якого зловмисник, який зламав вас, продає іншому зловмиснику встановлення будь-якої програми на вашому пристрої. Це може бути програма-вимагач, ратник для віддаленого шпигунства, майнер для видобутку біткоїнів або будь-яка інша програма.
Як ламають
Є два основні напрямки атаки: підбір пароля для доступу до пристрою (так званий брутфорс) і експлуатування вразливостей.
Підбір пароля для доступу до пристрою
Брут, або підбір пароля, – найпопулярніший тип атаки через свою простоту. Шахраєві достатньо лише встановити готові програми і запустити атаку. Здебільшого цим займаються скрипт-кідді – хакери, не здатні ні на що більше, крім використання готових рішень. Подібна атака відмінно працює в разі роутерів, коли користувачі не змінюють дефолтний (встановлений за замовчуванням) пароль або встановлюють дуже простий пароль.
У хакерів є бази логінів і паролів за замовчуванням для найрізноманітніших Wi-Fi роутерів, і вони постійно сканують мережу в їх пошуку. Усі IP-адреси мережі регулярно сканують у пошуку серверів. У серверів хакерів цікавить SSH-доступ, зазвичай шукають відкритий 22 порт (стандартний SSH-порт), перевіряють найпопулярніші логіни на кшталт root, admin, support, user і паролі. Чим більшими потужностями володіє зловмисник, тим більше варіантів він може перевірити.
Не думайте, що це вас не стосується, адже ви плануєте використовувати VPN-сервери, proxy-сервери? Якщо ви налаштовуєте VPN або proxy за допомогою CrowdShield, програма сама зробить все, не залишивши зловмисникам шансів.
По-перше, буде змінено стандартний SSH-порт на рандомний п’ятизначний порт.
По-друге, логін і пароль буде змінено на комбінацію, недоступну для атаки перебором не те що скрипт-кідді, а самим хакерам АНБ. На сервери, що налаштовуються CrowdShield, встановлюється система fail2ban – спеціалізована система захисту від підбору пароля. Після кількох спроб підібрати пароль IP-адресу атакуючого буде заблоковано на деякий час.
За такого багаторівневого захисту ви можете забути про загрозу підбору логіна і пароля. У випадку з комп’ютерами зловмисники шукають пристрої з активованою службою Remote Desktop Protocol (RDP) – віддалений доступ до комп’ютера. Зазвичай порт RDP 3389, але про всяк випадок перевіряється діапазон від 3350 – 3500, оскільки адміністратори нерідко змінюють стандартний порт.
Природно, підключення захищене паролем, його зазвичай і пробують підібрати. На домашньому комп’ютері раджу відключати RDP, якщо ви його не використовуєте, якщо використовуєте – змінити порт і виставити надійний пароль.
Експлуатування вразливостей
У травні 2017 року відбулася найбільша за це десятиліття масова атака на комп’ютери під управлінням операційної системи Windows. Були виведені з ладу комп’ютери тисяч компаній і організацій. Наслідки скрізь одні: цінна інформація зашифрована, а для дешифрування потрібно заплатити 300 USD на біткойн-гаманець.
Зазвичай подібні зараження відбуваються через фізичне проникнення, як-от скомпрометовану флешку або лист зі шкідливою програмою, але в даному випадку нічого подібного не сталося. Комп’ютери були просто зламані, а атака отримала назву WannaCry. Уразливість, використана хакерами, полягала в протоколі SMB, який використовується для віддаленого доступу до мережевих ресурсів, наприклад файлів або принтера. Зловмисники сканували інтернет і шукали комп’ютери з відкритим 445 портом, який використовується SMB.
Далі систему перевіряли на наявність уразливості, відомої як EternalBlue, і в разі виявлення експлуатували її. Інформацію про EternalBlue опублікували хакери The Shadow Brokers, а саму вразливість, як вважається, було виявлено АНБ.
З роутерами ситуація не краща, щороку дослідники знаходять десятки критичних вразливостей у популярних моделях роутерів. Щойно про вразливість стає відомо хакерам, вони готують експлойт і починають сканування мережі в пошуках вразливих пристроїв. У більшості випадків жертвами стають користувачі, які не оновили вчасно свій Wi-Fi роутер. Так відбувається з усіма власниками роутерів MikroTik, які не оновлюють свої пристрої.
На момент написання статті за ними активно полював ботнет Hajime. Але якщо власники роутерів MikroTik хоча б мають можливість оновити свої пристрої, буває й так, що розробник не закриває вразливість або випускає оновлення занадто довго.
Подібні вразливості є і для мобільних пристроїв, і для розумної техніки, і для веб-камер. На жаль, ця атака значно небезпечніша за підбір пароля.
Як захиститися
Від атаки підбором пароля є такі методи захисту: зміна стандартного логіна і пароля на надійну комбінацію. Програма CrowdShield змінить паролі на ваших VPN і proxy-серверах. Зміна порту SSH і RDP. Це виключить більшість спроб підбору пароля, оскільки сканери шукають стандартні порти.
Блокування при спробі підбору пароля. Ми вже говорили про fail2ban – це ефективне рішення, що припиняє цілеспрямований підбір пароля. Подібні рішення є і у деяких Wi-Fi роутерів. Від експлуатування вразливостей
Основний засіб захисту від експлуатування вразливостей – своєчасне оновлення. Вам необхідно бути в курсі всіх поточних вразливостей, особливо якщо вони стосуються пристроїв, які ви використовуєте.
Окрім оновлення, слід провести комплексне налаштування безпеки пристроїв. Наприклад, закрити доступ з зовнішньої мережі до управління Wi-Fi роутером, відключити RDP і SMB, налаштувати firewall, тим самим заблокувавши потенційно небезпечні шляхи атаки.









