Эксперты компании Verizon рассказали о атаке на системы одного из университетов, проведенную с применением торговых автоматов, смарт-лампочек и других IoT-устройств, установленных в ВУЗе.
Инцидент был обнаружен после появления у студентов университета проблем с доступом к интернету. Позже сотрудник IT-отдела зафиксировал внезапный всплеск запросов к сайтам, которые посвящены морепродуктам. DNS-сервер не мог справиться с огромным объемом трафика, что привело к проблемам с доступом к интернету.
Руководство университета попросило помощи у команды Verizon RISK. Исследователи провели анализ логов DNS и межсетевых экранов. В результате выяснилось, что IoT-устройства, установленные в университете, были взломаны и каждые 15 минут осуществляли отправку DNS-запросов на сайты, посвященные морепродуктам.
IoT-устройства были инфицированы вредоносной программы и были присоединены к ботнету. Ввиду наличия слабых паролей, взлом устройств не составил труда для хакеров. Хакеры использовали метод полного перебора для получения паролей. В результате вредоносная программа полностью захватывала контроль над инфицированной системой. Программное обеспечение подключалось к командному серверу, который в свою очередь отправлял обновления и новые пароли. В итоге IT-отдел университета потерял контроль над 5000 устройств.
Простая замена зараженных торговых автоматов и лампочек на новые, по мнению экспертов Verizon RISK, была бы неэффективной, так как ненадежные пароли можно снова взломать. Используя анализатор трафика, исследователи извлекли новые пароли для инфицированных устройств, полученные вредоносной программой. Специалисты разработали скрипт, который позволил осуществить обновление паролей на зараженных системах и удаление вредоносного программного обеспечения.