Une expérience de pot de miel de trois ans avec des appareils IoT à faible interaction simulés de divers types et emplacements donne une idée claire de la raison pour laquelle les acteurs ciblent des appareils spécifiques.
Plus précisément, le pot de miel était destiné à créer un écosystème suffisamment diversifié et à regrouper les données générées de manière à déterminer les objectifs des adversaires.
Les appareils IoT (Internet des objets) sont un marché en plein essor qui comprend de petits appareils connectés à Internet tels que des caméras, des lumières, des sonnettes, des téléviseurs intelligents, des capteurs de mouvement, des haut-parleurs, des thermostats et bien d’autres.
On estime que d’ici 2025, plus de 40 milliards de ces appareils seront connectés à Internet, fournissant des points d’entrée au réseau ou des ressources de calcul pouvant être utilisées dans le minage de crypto-monnaies non autorisé ou dans le cadre d’essaims DDoS.
La mise en scène
Les trois composants de l’écosystème du pot de miel mis en place par des chercheurs du NIST et de l’Université de Floride comprenaient des fermes de serveurs, un système de vérification et l’infrastructure de capture et d’analyse des données.
Pour créer un écosystème diversifié, les chercheurs ont installé Cowrie, Dionaea, KFSensor et HoneyCamera, qui sont des émulateurs de pot de miel IoT prêts à l’emploi.
Les chercheurs ont configuré leurs instances pour qu’elles apparaissent comme de vrais appareils sur Censys et Shodan, deux moteurs de recherche spécialisés qui trouvent des services connectés à Internet.
Les trois principaux types de pots de miel étaient les suivants :
- HoneyShell – Émulation de Busybox
- HoneyWindowsBox – Émulation d’appareils IoT exécutant Windows
- HoneyCamera – Émulation de diverses caméras IP de Hikvision, D-Link et d’autres appareils.
Source : Arxiv.org
Un élément nouveau de cette expérience est que les pots de miel ont été ajustés pour répondre au trafic des attaquants et aux méthodes d’attaque.
Les chercheurs ont utilisé les données collectées pour modifier la configuration et les défenses de l’IoT, puis collecter de nouvelles données reflétant la réponse de l’acteur à ces changements.
Les résultats
L’expérience a produit des données à partir de 22,6 millions de visites massives, la grande majorité ciblant le pot de miel HoneyShell.
Source : Arxiv.org
Les différents acteurs présentaient des schémas d’attaque similaires, probablement parce que leurs objectifs et les moyens pour les atteindre étaient communs.
Par exemple, la plupart des acteurs exécutent des commandes telles que « masscan » pour rechercher les ports ouverts et « /etc/init.d/iptables stop » pour désactiver les pare-feu.
De plus, de nombreux acteurs exécutent « free -m », « lspci grep VGA » et « cat /proc/cpuinfo », tous trois visant à collecter des informations matérielles sur le périphérique cible.
Fait intéressant, près d’un million de résultats ont testé la combinaison nom d’utilisateur-mot de passe « admin/1234 », reflétant une utilisation excessive des informations d’identification dans les appareils IoT.
En ce qui concerne les objectifs finaux, les chercheurs ont découvert que les pots de miel HoneyShell et HoneyCamera étaient principalement ciblés pour le recrutement DDoS et étaient souvent également infectés par une variante Mirai ou un mineur de pièces.
Les infections des mineurs de pièces étaient l’observation la plus courante sur le pot de miel Windows, suivies des virus, des compte-gouttes et des chevaux de Troie.
Source : Arxiv.org
Dans le cas de la HoneyCamera, les chercheurs ont intentionnellement créé une vulnérabilité pour révéler les informations d’identification et ont remarqué que 29 acteurs se livraient à l’exploitation manuelle de la faille.
Source : Arxiv.org
« Seules 314 112 (13%) sessions uniques ont été détectées avec au moins une exécution de commande réussie à l’intérieur des pots de miel », explique le document de recherche.
« Ce résultat indique que seule une petite partie des attaques ont exécuté leur prochaine étape, et le reste (87 %) a uniquement essayé de trouver la bonne combinaison nom d’utilisateur/mot de passe. »
Comment sécuriser vos appareils
Pour empêcher les pirates de s’emparer de vos appareils IoT, suivez ces mesures de base :
- Remplacez le compte par défaut par quelque chose d’unique et de fort (long).
- Configurez un réseau distinct pour les appareils IoT et maintenez-le isolé des actifs critiques.
- Assurez-vous d’appliquer tout micrologiciel disponible ou autres mises à jour de sécurité dès que possible.
- Surveillez activement vos appareils IoT et recherchez des signes d’exploitation.
Plus important encore, si un appareil n’a pas besoin d’être exposé à Internet, assurez-vous qu’il est situé derrière un pare-feu ou un VPN pour empêcher tout accès à distance non autorisé.