Met behulp van verschillende lokservers (honeypots) is in een drie jaar durend onderzoek in kaart gebracht wat hackers doen na het inbreken op Internet of Things (IoT)-apparaten. De onderzoekers wisten een divers IoT-ecosysteem op te zetten en op slimme manieren data te verzamelen. Zo konden ze achterhalen wat het uiteindelijke doel van de hacks is.
Internet of Things
IoT-apparaten omvatten in principe allerlei ‘normale’ apparatuur die met het internet verbonden kunnen worden. Denk bijvoorbeeld aan slimme lampen, camera’s, deurbellen, Smart-TV’s, koelkasten, speakers en nog veel meer. In de komende jaren zullen er miljarden van dit soort apparaten bijkomen.
Deze apparaten zijn bedoeld om via een netwerk (en dus veelal thuis) beheerd te worden. Toch zijn deze apparaten vaak onbedoeld met het internet zelf verbonden. De combinatie van toegankelijk en over het algemeen zwakke beveiliging maakt het een interessant doelwit voor hackers.
3 soorten honeypots
Om hackers te lokken hebben de IOT Honeypots University Florida 3 soorten honeypots opgezet die echte IoT-apparaten zoals bij klanten thuis nabootsen.
| Type Honeypot | Activiteit | Aantal verbindingspogingen |
|---|---|---|
| HoneyShell | 12 maanden | 17.3 miljoen |
| HoneyWindowsBox | 7 maanden | 1.6 miljoen |
| HoneyCamera | 25 maanden | 3.6 miljoen |
- HoneyShell emuleerde Busybox, een populaire versie van Linux die op veel IoT-apparaten draait.
- HoneyWindowsBox emuleerde op Windows gebaseerde IoT-apparaten.
- HoneyCamera emuleerde internet camera’s. Door specifieke poorten te gebruiken konden de onderzoekers specifieke kwetsbare of populaire apparaten nabootsen.
Betere camouflage
De onderzoekers hebben er voor gezorgd dat de honeypots als legitieme apparaten te vinden waren op gespecialiseerde zoekmachines als Shodan en Censys. Deze zoekmachines laten gebruikers zoeken naar apparaten die met het internet zijn verbonden.
Deze zoekmachines geven ook een ‘echtheidsscore’, dus de onderzoekers moesten extra maatregelen nemen om zo echt mogelijk te lijken. Daarnaast zijn hackers meestal erg voorzichtig; als ze de boel niet vertrouwen laten ze een apparaat links liggen. Zij weten immers ook dat er honeypots actief zijn. Het onderzoek werd om hiervoor te compenseren in 2 of 3 fases uitgevoerd.
De data van fase 1 (6 maanden) werd gebruikt om de honeypots beter te camoufleren. In fase 2 werd data verzameld met de verbeterde camouflage. In fase 3 werd kennis en data uit fase 1 en 2 gebruikt om een speciale variant van de HoneyShell honeypot te ontwikkelen. Zo wisten ze bij een inbraak zeker wisten dat het om een menselijke hacker zou gaan die handmatig probeert in te breken.
Resultaten
De resultaten van het onderzoek laten een aantal terugkerende patronen en doelstellingen van de hackers zien. Zo probeerden de meeste hackers commando’s uit te voeren waarmee ze meer informatie kregen over de hardware waartoe ze toegang hadden. Ook werd er massaal gescand op open poorten en werd er geprobeerd om firewalls uit te schakelen.
Meer dan een miljoen aanvallers probeerden de meest gebruikte combinatie van inloggegevens, namelijk gebruikersnaam “admin” met het wachtwoord “1234”. Het feit dat aanvallers dat dit nog geprobeerd wordt geeft aan dat mensen hun apparaten nog steeds zwak beveiligen. Naast deze combinatie werden ook veel standaard combinaties van producenten geprobeerd.
Als aanvallers eenmaal binnenkwamen werden de Linux en camera honeypots voornamelijk misbruikt voor de volgende doeleinden:
- DDoS netwerken
- Botnetwerken als Mirai
- Cryptominers
Bij de Windows honeypot was er iets meer diversiteit, namelijk:
- Cryptominers
- Virussen
- Malware droppers
- Trojans
- Rootkits
- Botnets
- Remote Access Trojans
Tot slot bleek de overgrote hoeveelheid aanvallen van bots te komen en werden bij slechts in 13% van de succesvolle inbraken daadwerkelijk vervolgstappen genomen na het verkrijgen van toegang.
Zo houd je jouw IoT-apparaten veilig
Jouw eigen Internet of Things-apparaten kunnen ook ongemerkt slachtoffer worden van dit soort aanvallen. Gelukkig zijn er een aantal relatief eenvoudige stappen die jou minder kwetsbaar kunnen maken:
- Als een apparaat geen toegang tot het bredere internet nodig heeft, zorg dan voor een VPN verbinding en firewall om onbedoelde remote-access te voorkomen.
- Installeer de nieuwste firmware en beveiligingsupdates zodra ze beschikbaar komen.
- Geef de IoT apparaten die met elkaar moeten kunnen praten met elkaar hun eigen netwerk.
- Wijzig de standaard gebruikersnamen en wachtwoorden naar lange, veilige alternatieven
