Розумні побутові прилади стають «чорними воротами» для хакерів, ваші мнемонічна фраза можуть бути під наглядом!

Оригінальна назва: Обережно, ваш робот-пилосос і кавоварка можуть вкрасти ваш Біткойн?

Оригінальний автор: Шеньчао Techflow

Оригінальне джерело:

Компільовано: Дейзі, Mars Finance

Роботи-пилососи та інші розумні побутові пристрої можуть легко бути зламані хакерами для запису введення вашого пароля або мнемонічної фрази. Уявіть собі, що одного ранку ви прокидаєтеся і виявляєте, що робот-пилосос вийшов з-під контролю, холодильник починає вимагати у вас викуп, а ваші кошти в криптовалюті та банківських рахунках були вкрадені.

Це не сюжет фільму жахів Стівена Кінга 1986 року «Вогняний автомобіль» (Maximum Overdrive), який розповідає про історію, коли блукаюча комета викликала глобальну божевільну різанину машин.

Навпаки, реальні ризики, які можуть виникнути, якщо хакер проникне в твій комп'ютер через розумний пристрій у твоєму домі. Оскільки кількість глобальних IoT пристроїв, як очікується, досягне 18,8 мільярдів, і середньодобово відбувається близько 820 тисяч атак на IoT, ймовірність такого сценарію зростає.

«Небезпечні пристрої Інтернету речей (наприклад, маршрутизатори) можуть стати вхідною точкою для злому домашньої мережі», – заявив дослідник компанії з безпеки блокчейну Beosin Тао Пан в інтерв'ю.

Станом на 2023 рік, середньостатистична американська родина має 21 підключений пристрій, при цьому третина споживачів смарт-пристроїв для дому зазнали витоку даних або шахрайства протягом останніх 12 місяців.

«Якщо зловмисник зламає систему, атакуючий може переміщатися в горизонтальному напрямку, щоб отримати доступ до підключених пристроїв, включаючи комп'ютери або мобільні телефони, що використовуються для криптовалютних транзакцій, а також може захоплювати облікові дані для входу між пристроєм і біржею. Це особливо небезпечно для користувачів, які здійснюють криптовалютні交易 за допомогою API», - додав він.

Отже, які саме дані можуть бути вкрадені хакерами у вас вдома і яку шкоду це може завдати?

«Magazine» зібрав деякі з найкурйозніших хакерських випадків, що сталися за останні кілька років, зокрема випадок, коли хакери зламали сенсори доступу для видобутку криптовалюти. Ми також підготували кілька порад щодо захисту даних та безпеки криптовалюти.

Вторгнення кавомашини

У 2019 році дослідник компанії з кібербезпеки Avast Мартін Хрон продемонстрував, як хакери можуть легко отримати доступ до домашніх мереж та їхніх пристроїв.

Він вибрав просту мету: віддалене вторгнення у свою кавоварку.

Hron пояснив, що, як і більшість розумних пристроїв, кавоварка використовує попередньо встановлені налаштування і може підключатися до WiFi без пароля, що робить завантаження шкідливого коду в пристрій дуже простим.

"Багато пристроїв Інтернету речей спочатку підключаються до домашньої мережі через власну WiFi мережу, яка використовується лише для налаштування пристрою. Ідеально, щоб споживачі одразу захистили цю WiFi мережу паролем," – пояснив Хрон.

«Але багато пристроїв при виході з заводу не мають встановленого пароля для захисту WiFi мережі, і багато споживачів також не встановлюють пароль», додав він.

Посилання на оригінальне відео

"Я можу робити все, що хочу, тому що можу змінювати прошивку, тобто програмне забезпечення кавомашини. І я можу замінити його на що завгодно. Я можу додати функції, видалити функції, а також зламати вбудовані засоби захисту. Тож я можу робити все, що хочу," - сказав він у відео, опублікованому Avast.

У своїй демонстрації Хрон показав лист-вимагач через кавоварку, пристрій був заблокований, і його не можна було використовувати, якщо не сплатити викуп.

Ти можеш вибрати вимкнення пристрою, але це означає, що ти більше не зможеш пити каву (Avast/YouTube)

Однак, крім відображення вимог на викуп, кавоварка також може бути використана для виконання більш злих дій, таких як вмикання обігрівача, що створює пожежну небезпеку, або випускання окропу для залякування жертви.

Ще страшніше, що це може тихо стати входом до всієї мережі, дозволяючи хакерам контролювати вашу інформацію про банківські рахунки, електронні листи та навіть криптографічні мнемоники.

Вторгнення в акваріум казино

Один з найвідоміших випадків стався у 2017 році, коли хакери, проникнувши в з'єднані акваріуми в залі казино Лас-Вегаса, передали 10 ГБ даних.

Акваріум обладнаний датчиками для регулювання температури, годування та очищення, які підключені до комп'ютера в мережі казино. Хакери через акваріум отримали доступ до інших зон мережі та надіслали дані на віддалений сервер у Фінляндії.

Акваріум може виглядати так (Muhammad Ayan Butt/ Unsplash)

Незважаючи на те, що казино впровадило звичайні брандмауери та антивірусне програмне забезпечення, атака все ж успішно здійснена. На щастя, атаку швидко виявили та вирішили.

Генеральний директор компанії з кібербезпеки Darktrace Ніколь Іган тоді сказала BBC: «Ми негайно зупинили це, і ніякої шкоди не було завдано». Вона також додала, що постійне зростання кількості підключених до Інтернету пристроїв означає, що «там рай для хакерів».

Датчик дверей також може приховано видобувати

У 2020 році, під час закриття офісів по всьому світу через пандемію COVID-19, компанія з кібербезпеки Darktrace виявила випадок таємного видобутку криптовалюти — хакери використовували сервери, що контролюють біометричні системи доступу в офісах, для незаконного видобутку.

Ця подія сталася через те, що сервер завантажив підозрілий виконуваний файл з зовнішньої IP-адреси, яка раніше не з'являлася в мережі. Після цього сервер неодноразово підключався до зовнішніх кінцевих точок, пов'язаних з майнінгом приватної криптовалюти Монеро.

Цей тип атаки називається «криптоджекінг» (Cryptojacking). Команда з розвідки загроз Microsoft у 2023 році виявила більше таких випадків атак, хакери націлюються на системи Linux та підключені до Інтернету розумні пристрої.

Дослідження Microsoft виявило, що зловмисники здійснюють атаки на Linux та Інтернет речей пристрої, підключені до Інтернету, за допомогою брутфорс-атак. Потрапивши в мережу, вони встановлюють програми-задні двері, після чого завантажують і запускають шкідливе програмне забезпечення для видобутку криптовалюти. Це не тільки призводить до різкого зростання витрат на електроенергію, але й усі доходи від видобутку безпосередньо перераховуються на гаманці хакерів.

Цей випадок криптовалютного викрадення є одним із численних, де останній випадок стосується вбудовування коду програми викрадення криптовалюти в підроблену HTML-сторінку 404.

Злом хакерами розумних пристроїв: знищення електромережі

Ще більш страшно, що дослідники з Університету Принстона висунули гіпотезу: якщо хакери зможуть контролювати достатню кількість енергоємних пристроїв, таких як 210 тисяч кондиціонерів, і змусити їх усі працювати одночасно, це може призвести до відключення електроенергії для кількості людей, що дорівнює населенню Каліфорнії, приблизно 38 мільйонів.

Ці пристрої повинні бути зосереджені в певній частині електромережі та одночасно включені, щоб призвести до перевантаження струму в певних електричних лініях, внаслідок чого може статися пошкодження або спрацьовування захисного реле на лінії, що призведе до її вимкнення. Це перенесе навантаження на залишкові лінії, ще більше посиливши тиск на електромережу, що в кінцевому підсумку викличе ланцюгову реакцію.

Однак така ситуація потребує точного планування зловмисного часу, оскільки коливання електромережі є поширеним явищем під час особливих погодних умов (наприклад, під час теплових хвиль).

Робот-пилосос дивиться на тебе

Минулого року в багатьох містах США робот-пилосос раптово почав самостійно запускатися. Виявилося, що хакери виявили серйозну вразливість безпеки в китайському роботі-пилососі Ecovac.

За повідомленнями, хакери можуть віддалено керувати цими пристроями, залякувати домашніх тварин, кричати на користувачів лайливими словами через вбудовані динаміки, а навіть використовувати вбудовані камери для підглядання за обстановкою в домі користувача.

Зображення з моментального знімка від хакнутого робота-пилососа Ecovac (ABC News)

«Серйозна проблема з пристроями Інтернету речей полягає в тому, що багато виробників все ще недостатньо звертають увагу на проблеми безпеки», - заявила компанія з кібербезпеки Kaspersky.

Очевидно, що якщо хакер отримає доступ до відеозапису, на якому ви вводите пароль або записуєте мнемонічну фразу, наслідки можуть бути жахливими.

Як захистити себе від атак хакерів на розумні пристрої?

Оглядаючи навколо, ви можете помітити, що майже всі пристрої у вашому домі підключені до Інтернету — робот-пилосос, цифрова фоторамка, відеодомофон. То як же вам забезпечити безпеку вашого Біткоїна?

Один з варіантів — це скористатися методом професійного хакера Джо Гранда: повністю уникати використання будь-яких розумних пристроїв.

«Мій телефон є найрозумнішим пристроєм у домі, але навіть так, я не хочу використовувати телефон, лише для навігації та спілкування з родиною», — сказав він журналу «Magazine», «але розумні пристрої? Абсолютно ні.»

Hron з Avast заявив, що найкращий спосіб – це забезпечити встановлення пароля для розумних пристроїв та уникати використання налаштувань за замовчуванням.

Інші експерти радять використовувати окрему гостьову мережу для пристроїв Інтернету речей, особливо для тих, які не потребують спільного використання мережі з комп'ютерами та телефонами; відключати їх, коли не використовуються; та підтримувати програмне забезпечення в актуальному стані.

Крім того, існує мережевий платний пошуковий двигун, який може допомогти користувачам переглядати підключені до мережі пристрої в домі та можливі вразливості.