投稿作者:安全牛
安全牛评:如果你的智能咖啡机被勒索软件控制了,你也许会觉得这是一个成本不高的恶作剧而已,但是想象一下,黑客以智能咖啡机为跳板,渗透进了工控系统或者企业内网,或者锁死了存有大量个人数据的家庭NAS设备,你还会认为这是一个人畜无害的恶作剧吗?
物联网:勒索软件的新跳板
根据SonicWall安全研究人员近日发布的2020年第三季度威胁情报,物联网攻击数量增加了30%,勒索软件攻击数量激增了40%,大多数物联网设备,包括有语音功能的智能设备、门铃、电视摄像机和电器,在设计时并没有将安全放在第一位,非常容易遭受攻击并成为不不法分子开展进一步攻击的切入点和“根据地”。
如果说报告数字有些抽象,那么下面这个现实中发生的咖啡机攻击也许能给您一个比较直观的感受。
https://youtu.be/bJrIh94RSiI
上面这个视频展示了一个被Avast逆向工程师Martin Hron入侵的智能咖啡机,不但会发出巨大的蜂鸣声、喷洒热水,还能显示勒索软件赎金勒索信息。这个视频让所有人更直观地看到,一台智能咖啡机不但可以被黑,而且还能成为勒索软件的一个“落脚点”。
大约十年前,当物联网(IoT)概念刚开始吸引世界关注时,没有咖啡爱好者会想到将咖啡机也会成为联网设备,更不会想到这玩意会跟智能音箱、智能门铃、智能插座或智能摄像头一样,成为黑客的攻击目标。
直到,工程师Hron通过修改固件将一台智能咖啡机变成了所有企业的噩梦——一台勒索软件机器。
从智能设备到勒索软件机器
简单来说,固件是允许用户控制电子硬件的软件。由于历史原因,通常固件没有加密或任何形式的保护,这使其很容易受到恶意黑客和间谍机构的攻击。
Hron在一篇介绍咖啡机漏洞的博客中指出:固件普遍存在漏洞,我的同事经常听到我说固件是新软件,并且该软件是往往存在漏洞。博客中详述了他如何入侵智能咖啡机,“物联网安全的薄弱状态,在很大程度上是由于人们开始在物联网设备中塞入处理器,这样做不仅价格便宜,而且还具有一个重要特性——可以更新。”
其实早在2019年6月,Hron就成功黑掉一个咖啡机,并将其改造成一个勒索软件机器。不仅如此,Hron还展示了更可怕的“前景”,黑客还可以将智能设备作为网关和跳板,进入专用网络为所欲为。例如监控与咖啡机所在网络上的每个设备、窃听用户之间的通信、下载敏感数据,以及上传恶意软件(勒索软件)。
一个跨国巨头被一台咖啡机勒索1000万美元,这并不是天方夜谭,而是当今任何公司随时都可能面临的威胁。
一个真实的案例
一位化名C10H15N1的Reddit用户亲眼目睹了一起通过智能咖啡机实施的勒索软件攻击。
三年前,他在一个论坛帖子中透露了事件的经过。当时当地工厂控制系统的操作员报告说,四台安装了监控软件的计算机全部停机,并显示一条勒索软件消息。作为可编程逻辑控制器(PLC)的专家,C10H15N1协助操作员寻找问题并试图恢复系统。根据操作员的描述,感染勒索软件的计算机(仍运行旧版Windows XP)并没有连接到联网,因此一时间无法确定感染路径。
然后,C10H15N1指示操作员重新启动计算机并重新安装新的操作系统映像。结果系统工作了一段时间后,又一个接一个地死机并再次开始显示相同的勒索信息,这使C10H15N1陷入了困境。在排查感染源头的时候,操作员去喝咖啡,却空着手回来,因为在咖啡机也“死机”了,显示屏上出现了相同的勒索软件信息。
最终,虽然整个攻击过程中没有人员(烫伤)或财务损失,但这是首次被披露的,通过智能咖啡机对工控系统成功实施的勒索软件攻击。此次攻击还暴露除安全意识和安全管理方面的一些问题,例如通常智能咖啡机只能连接到单独的WiFi网络中,但是安装智能滤水器的第三方人员居然通过网线将咖啡机连接到了控制室的网络。
不要引狼入室
本文介绍的案例,证明了物联网勒索软件不再停留在理论层面,而是一个可怕的现实威胁(尽管很少见),但今天的企业和消费者对此都并未给与足够的重视。
在这个勒索软件肆虐,远程办公常态化的今天,企业与个人数据安全威胁的交集——家庭网络,面临极大威胁。以下,是我们对防范物联网勒索软件的一些建议:
- 务必不要将智能设备(智能咖啡机、扫地机器人、智能门铃等)连入包含敏感信息或通信的网络,包括企业和家庭网络;
- 对于企业管理层和关键员工来说,家庭网络必须分段。建议家庭用户为智能设备开辟专用的“访客”网络,尤其是不要与PC或NAS共享网络);
- 尽快更新您的智能设备的固件;
- 加固网络设备安全。不使用路由器的默认密码,启用强密码;
- 如无明确的功能需求和足够的安全意识及知识,请谨慎购买能够联网的智能设备。