Вчера многие издания писали о странной истории: три миллиона «умных» зубных щёток атаковали веб-сайт и вывели его из строя. Пришло время разобраться в этой истории более детально.
- Введение
- «Увлекательная» история по зубные щётки и DDoS
- «А был ли мальчик?..»
- Нет дыма без огня!?
- DDoS и ботнеты
- Выводы
Введение
Вчера многие российские издания успели погнаться за хайпом новости о DDoS-атаке, совершённой с использованием «умных» зубных щёток. Как сообщалось, в атаке участвовали «три миллиона гаджетов», что вызвало бурный интерес среди читателей. Появление новости сразу спровоцировало вирусный эффект, что наверняка проявилось в возросшем трафике и кликах. За кадром остался только главный вопрос: а есть ли в этом происшествии здравый смысл?
Почему такой вопрос возникает?
Данная новость очень была похожа на фейк или журналистскую ошибку. На неё можно было не попасться, если обратить внимание на сопутствующие детали, а не только на внешние яркие атрибуты. Ошибаются все, в том числе и крупные издания.
Как показали события сегодня, публикация действительно была ошибочной. Но давайте по порядку.
«Увлекательная» история по зубные щётки и DDoS
30 января на швейцарском новостном портале Aargauer Zeitung была опубликована эксклюзивная статья, в которой утверждалось, что во время интервью с сотрудником хорошо известной ИБ-компании Fortinet было заявлено, что «три миллиона электрических зубных щёток были заражены вредоносной программой. Оно было использовано для проведения DDoS-атаки против неназванной швейцарской компании.
Рисунок 1. Скриншот начала статьи в Aargauer Zeitung (английский вариант)
«Умная» зубная щётка действительно может использовать Java-апплеты, и со слов представителя Fortinet можно было понять, что преступникам «удалось незаметно установить» вредонос. «Было заражено в общей сложности три миллиона зубных щёток, – говорилось в статье. – Достаточно одной команды, и зубные щётки, оказавшись под дистанционным управлением, смогут одновременно запросить доступ к веб-сайту швейцарской компании. В результате его работа будет парализована как минимум на четыре часа, а нанесённый ущерб составит миллионы долларов».
Отметим сразу, что для проверки оригинальной статьи на сайте Aargauer Zeitung нужна платная подписка. Поэтому изучение этой части информации требовала «небольших издержек», что, скорей всего, многих остановило. В общем доступе был только текст, который обрывался на строчке про «три миллиона зубных щёток, на которые была установлена вредоносная программа».
После этого новость распространялась несколько дней, и вчера ее опубликовали два авторитетных издания – Tom’s Hardware и ZDNet.
Реакция рунета последовала незамедлительно. Новость быстро опубликовали многие ведущие российские издания. По слухам, ее обсуждали вечером уже многие граждане за ужином.
Рисунок 2. Первая (оригинальная) версия публикации в Tom’s Hardware
Эта новость также попала в поле зрения Anti-Malware.ru, но мы решили не публиковать ее в силу ряда признаков, которые могли указывать на её недостоверность.
Что произошло дальше?
Если перейти по ссылке на оригинальную новость в Tom’s Hardware, сегодня там уже не обнаружится вчерашний текст. Вместо него присутствует другой вариант:
Рисунок 3. Новый текст новости о DDoS с помощью зубных щёток в Tom’s Hardware
По этой ссылке размещён комментарий, который прислал специалист Fortinet. В нём сообщается, что «тема использования зубных щёток для DDoS-атак была представлена в интервью как иллюстрация конкретного типа атаки, а не как результаты расследования, проведенного в Fortinet и FortiGuard Labs». Fortinet указала на то, что вчерашняя журналистская интерпретация оказалась неточной, в результате чего «были сделаны гипотетические выводы, а реальные сценарии размыты».
«А был ли мальчик?..»
Рассказанная история драматична по своему содержанию и принятой форме. Поэтому она определённо заслуживает более детального анализа.
Начнём с того, что те издания, кто переносили новость на свои порталы, похоже, не читали целиком оригинальной статьи в Aargauer Zeitung. А в ней эксперт Fortinet рассказывал о том, как потенциально может быть заражен ещё и ресторан, если в преддверие заказанного свадебного торжества в его бизнес-почту придёт письмо якобы от компании, занимающейся подготовкой букетов для новобрачных. Приложенное фото может содержать вредонос, который активируется в системе после просмотра картинки цветов внутри корпоративной сети ресторана. «Достаточно, чтобы один сотрудник сделал это, и сеть будет заражена».
Рисунок 4. Эксперт Fortinet рассказал в интервью также о других потенциальных приёмах заражения
Хорошо видно, что оригинальная новость в Aargauer Zeitung была действительно посвящена обсуждению проблемы заражения, а вовсе не была эксклюзивным рассказом о DDoS-атаке в Швейцарии с использованием умных зубных щёток.
После статьи в сети пошла полемика о реальности такой DDoS-атаки. Что касается компетенций эксперта Fortinet, то она не вызывала сомнений. Он является специалистом в области безопасности IoT-устройств и мы даже планируем рассказать о его публикациях на эту тему подробней в будущем.
Многих смутила точность, с которой была высказана оценка: «три миллиона зубных щёток». Формально так можно сказать, только когда есть результаты соответствующего расследования. Но ссылок на расследования Fortinet не было. Поэтому участники обсуждения высказали другую версию. Скорей всего эксперт мог сказать, что вредоносной программой могли бы быть заражены «до миллиона компьютеров, к которым подключаются умные зубные щётки, например, для сбора статистики. Поскольку в обычной европейской семье умные зубные щётки есть в среднем у трех членов, так из «миллиона компьютеров» получилось «три миллиона зубных щёток».
Второе, на что можно было обратить внимание в публикации Aargauer Zeitung – это иллюстрация. Там использовалась картинка из фотобанка Getty с демонстрацией конкретной модели умных зубных щёток Oral-B Triumph 5000 компании Braun. В то же время в тексте не было упоминаний ни модели, ни производителя «злонамеренных щёток». Это явно указывало на «начальный уровень» редакционной подготовки статьи к печати.
«Ошибка» была исправлена в последующих статьях. Например, в Tom’s Hardware уже стоит другая картинка, где отсутствует любая связь с брендами. Этот признак должен был привлечь внимание.
Нет дыма без огня!?
Потенциальная возможность заражения умных зубных щёток, похоже, действительно существует. Во время обсуждения новости в чатах эксперты высказали мнение, что атаке мог подвергнуться микроконтроллер ESP32 компании Espressif Systems, который устанавливается в подобные гаджеты. Он действительно поддерживает работы Java-апплет. На этом же чипе интегрирована поддержка Wi-Fi и Bluetooth, т. е. хакерская атака может быть выполнена напрямую при соответствующей подготовке. Смущал только масштаб – «один миллион заражений».
Отметим сразу, что роль вендора зубных щёток в этом кейсе сводится к необходимости ИБ-проверки канала взаимодействия с контроллером и применению средств, обеспечивающих блокировку попыток вредоносной активности. С учётом того, что чипы ESP32 свободно продаются на Aliexpress за 7–14 долл., хакеры наверняка могут исследовать такие возможности.
Формально можно было предположить, что заразить могли зубные щётки, как принято говорить, ноунейм. Но эта версия кажется маловероятной (1 млн заражений), поскольку события разворачивались в Швейцарии. Вопрос о том, проводили ли такие ИБ-исследования компании Braun и Philips – основные производители в мире умных зубных щёток – остаётся пока открытым.
Как сообщил один из исследователей в чатах, за время сбора статистики в 2016 году о DDoS-атаках против онлайн маркетплейсов в Швейцарии ему действительно удалось выявить несколько серьёзных инцидентов, которые приводили к падению онлайн-активности маркетплейсов в течение нескольких часов. Такие атаки могли стоить бизнесу миллионов долларов. Однако были ли они связаны с атаками на умные устройства? Таких данных нет.
В статье Aargauer Zeitung также обсуждалась тема DDoS-атак против порталов некоторых государственных служб в Швейцарии во время проведения World Economic Forum. Уже в чате прозвучала точка зрения, что это могло быть связано с участием Президента Украины, но эта тема сразу вызвала саркастическую реакцию на возможность участия иностранцев в DDoS-атаках против госучреждений в Швейцарии:
Рисунок 5. Саркастическая реакция на участие иностранцев в DDoS-атаках против госучреждений в Швейцарии
Как бы там ни было, публикация статьи в Aargauer Zeitung явно не была нацелена на «сенсацию». Заявление о «3 млн умных зубных щёток в DDoS-атаке» было сделано очень наигранно. Это позволяет сразу понять, что если это не фейк, то сильно похоже на риторическое заявление.
DDoS и ботнеты
DDoS-атаки связаны с тем, что злоумышленник отправляет на определённый веб-сайт достаточно много запросов или данных, способных перегрузить его ресурсы или пропускную способность канала. Это ведёт к тому, что сайт оказывается неспособным принимать запросы от законных посетителей, что фактически делает его непригодным для использования.
DDoS-атаки всегда обусловлены какой-то определённой целью. Даже если они используются хактивистами для протеста против деятельности страны или бизнеса, субъекты угроз всегда обозначаются. Отсутствие этой привязки может служить явным признаком, что речь идёт о неправильной трактовке событий или даже фейке.
Что касается умных зубных щёток, они могут взаимодействовать с интернетом только через заражённый промежуточный «сервер» – прикладную программу, которая устанавливается на домашний компьютер. В ней собирается статистика, допускается сигнальное управление, например, для изменение цвета LED-лампочки после завершения обработки соответствующего участка полости рта. Но для совершения DDoS-атак такие гаджеты явно не предназначены.
Выводы
История о DDoS-ботнете «зубная щётка», который способен уничтожить веб-сайт, забавна и является хорошим напоминанием о том, что злоумышленники могут атаковать любое устройство, подключённое к интернету. Это могут быть маршрутизаторы, серверы, программируемые логические контроллеры (ПЛК), принтеры и веб-камеры.
Но применительно к данному кейсу FortiGuard Labs сообщили (изданию BleepingComputer), что никаких IoT-ботнетов, нацеленных на зубные щётки или аналогичные встроенные устройства, они не обнаружили.
