IoT-пристрої, що належать університету, атакували свою альма матер
Xakep #240. Ghidra
Фахівці компанії Verizon представники своєрідного тизеру майбутнього звіту «Дайджест уразливостей даних за 2016 рік». У цьому документі компанія щорічно розповідає про найцікавіші та незвичайні випадки, з якими її співробітникам довелося зіткнутися останнім часом. Наприклад, у минулорічному звіті фахівці Verizon описували майже курйозний випадок, коли хакери випадково атакували водоочисні системи неназваної компанії, явно погано розуміючи, що вони роблять.
Фахівці Verizon пишуть, що постраждалі пристрої почали генерувати величезну кількість запитів DNS lookup, що створило небувале навантаження на DNS-сервер університету, по суті послуживши аналогом флуду. У результаті сервер не впорався з хвилею трафіку, і безліч легітимних запитів так і залишилися без відповідей. Єдиною гарною новиною в ситуації, що склалася, було те, що всі п'ять тисяч IoT-пристроїв університету, чи то «розумні» лампочки, чи торгові автомати, були виділені в окрему підмережу.
Знаючи, з чим мають справу, експерти змогли знайти пролом у роботі малварі: виявилося, що нові паролі від скомпрометованих пристроїв передавалися за допомогою HTTP у незашифрованому вигляді. Фахівцям вдалося перехопити передачу та виявити, що новий пароль однаковий для всіх зламаних пристроїв. Після цього залишилося лише написати скрипт, що звертає шкідливі дії назад, і відновити контроль над IoT-пристроями.
Більш детальний аналіз події та розповідь про вжиті заходи можна знайти тут (PDF).