В контроллере для управления экосистемой «умного дома» польской компании Fibaro обнаружено несколько критических уязвимостей, рассказали “Ъ” в «Лаборатории Касперского». Контроллер интегрирует все умные системы владельца дома, компрометация такого устройства позволяет злоумышленникам шпионить за жильцами и выводить из строя различные устройства, указывают в компании.
Наиболее эффективными для организации атаки оказались уязвимость в облачной инфраструктуре устройства и потенциальная возможность удаленного исполнения вредоносного кода, говорят в «Лаборатории Касперского». Эти уязвимости открывали злоумышленникам доступ ко всем файлам бэкапа, загруженным в облако из устройств Fibaro Home Center Lite. Вместо них атакующие могли загрузить в облако вредоносные файлы и установить их на контроллере.В «Лаборатории Касперского» говорят, что уведомили об уязвимостях Fibaro, которая уже их устранила. В Fibaro комментариев не предоставили.
Устройства Fibaro используются во многих домах по всему миру, отметил эксперт Kaspersky ICS CERT Павел Черемушкин. По его словам, подобные уязвимости в облаках «умных домов» встречаются редко, при этом возможность получения прав суперпользователя очень ценится среди злоумышленников. В целом же уязвимости в устройствах «умных домов» встречаются часто, так как большинство их разработчиков концентрируются на функционале, а вопрос безопасности «могут не решать вовсе», добавляет эксперт.
Продажи электроники для «умного дома» в России заметно растут. Бренд Fibaro представлен у ряда ритейлеров, включая Ozon.ru, где его называют одним из самых продаваемых в категории. Стоимость контроллеров Fibaro на Ozon.ru — от 17,6 тыс. до 50 тыс. руб. В целом распространение умных домашних устройств в России пока невелико, но будет расти более чем на 10% ежегодно, оценивает директор технологической практики в риск-консалтинге КПМГ в России и СНГ Сергей Вихарев. Он ожидает появления на рынке все больше дешевых массовых решений, которые будут устанавливать в уже существующих квартирах, а не только в процессе строительства.
Атаки на устройства интернета вещей (IoT) монетизируются различными способами: начиная с прямой кражи финансовых данных или конфиденциальной информации до использования зараженного устройства в IoT-бот-сети, говорит директор центра мониторинга и реагирования на кибератаки компании «Ростелеком-Солар» Владимир Дрюков. Такие бот-сети продаются в даркнете и востребованы как инструмент для более серьезных атак. «Чаще всего это DDoS, но в начале этого года мы зафиксировали первую в России фишинговую атаку с применением IoT-устройств. Тогда киберпреступники использовали взломанные роутеры для рассылки писем от имени известных брендов, вложения к письмам содержали вирус-вымогатель Troldesh»,— рассказал господин Дрюков.
Кроме того, в мире множество устройств, производство которых завершено, а вендор прекратил выпуск обновлений ПО, что значит, что уязвимости в них никогда не будут закрыты, указывает руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров: «Большинство домашних роутеров не обновляются ни разу за весь срок работы. Число устройств, поддержка которых окончена, растет с каждым годом, злоумышленники начинают атаковать их все чаще». По данным Positive Technologies, в первом квартале 2019 года атаки на IoT-устройства заняли 2% от общего числа кибератак.
Источник: Коммерсантъ
