Miles de ataques contra honeypots de IoT en México
Avast implementó 500 honeypots (servidores configurados para parecerse a los dispositivos de IoT, como un dispositivo de transmisión de Chromecast, una cámara o enrutador conectado a Internet), para demostrar la gran cantidad de ataques potenciales que enfrentan los dispositivos domésticos inteligentes. Los atacantes potenciales escanearon los 500 honeypots 7.04 millones de veces en un día, y cada dispositivo 14,000 veces en promedio, por día.
En México, la firma configuró 3 dispositivos, que fueron atacados más de 42 mil veces. Los honeypots se encontraban en México, Francia, Alemania, Corea del Sur, Australia, Reino Unido, Australia, Japón, España, Irlanda, Singapur, Estados Unidos e India.
Los honeypots, similares a trampas de ratón en internet, fueron configurados intencionalmente como una demostración de Infosecurity México, con puertos abiertos que generalmente se encuentran en dispositivos conectados a Internet para engañar a los atacantes que los escanearon y hacerles pensar que se estaban conectando a enrutadores, televisores inteligentes, cámaras de seguridad u otros dispositivos inteligentes. El propósito de un honeypot es capturar la actividad de los cibercriminales y luego examinar sus métodos de ataque. Existen para engañar a los atacantes y hacerles creer que los dispositivos a los que se dirigen son reales y contienen datos reales.
Los honeypots configurados se programaron con puertos abiertos, como TCP: 23 (protocolo de telnet), TCP: 22 (protocolo ssh), TCP: 80 (protocolo http), que generalmente se encuentran en dispositivos conectados a internet, como enrutadores, cámaras de seguridad y televisores inteligentes, por lo que parecen ser dispositivos de IoT para los atacantes.
Los tres puertos que se escanearon con mayor frecuencia fueron el puerto SSH 23 que a menudo están presentes en los enrutadores, el puerto VNC (5900) un puerto encontrado en PCs y también en dispositivos de automatización que tienen pantalla y Linux, por ejemplo, diversos páneles de control táctiles, y puerto 8088, lo que generalmente se encuentra en dispositivos de transmisión, como Chromecast y los altavoces domésticos inteligentes. Los dispositivos de transmisión por secuencias se encuentran entre los dispositivos inteligentes más extendidos y vulnerables del hogar, según la investigación de Avast, y de los 11 millones de enrutadores analizados en septiembre de 2018, tres de cada cinco tenían credenciales débiles o vulnerabilidades de software.
“La mayoría de las personas piensan que no importa si su televisor inteligente, su altavoz inteligente o su bombilla en el hogar son vulnerables, porque no se consideran un objetivo. Lo que muchos no tienen en cuenta es que su enrutador doméstico o asistente inteligente se analizan potencialmente en busca de vulnerabilidades casi 14,000 veces al día. Ya hemos visto cientos de miles de dispositivos conectados utilizados como parte de redes de bots para llevar a cabo ataques de Denegación de Servicio Distribuidos (DDS) en sitios web y enrutadores populares, o para la encriptación”, dijo Javier Rincon, Country Manager de Avast.
“A la mayoría de las personas probablemente no les importa si sus dispositivos se utilizan para llevar a cabo ataques contra otros, pero los propietarios de dispositivos inteligentes deben ser conscientes de que también pueden ser un objetivo. Un atacante solo necesita un dispositivo dañado para tomar el control de toda una red doméstica y recopilar información sobre el hogar, poniendo en riesgo los datos, la seguridad física y la privacidad. Una máquina de café dañada podría usarse como un vector para permitir que un atacante también hable con el altavoz inteligente de la casa o acceda a una cámara de seguridad en la misma red para espiar la casa. Los datos almacenados en dispositivos conectados a internet, como la ubicación GPS, también pueden incluirse, revelando la ubicación exacta del dispositivo”.
Los tres principales países más “atacados” a través de servidores mexicanos fueron Mexico, España, y Singapore. Sin embargo, las tecnologías, como las redes privadas virtuales (VPN), la red TOR o las conexiones de proxy a través de un dispositivo ya infectado, son técnicas que los atacantes utilizan a menudo para ocultar su origen.