English
Ít ai biết rằng, khởi nguồn từ vụ tấn công DDoS lớn nhất lịch sử (tính đến năm 2016) đến từ các thiết bị IoT nhiễm mã độc, vào website KrebsonSecurity, cho thấy rằng vấn đề nghiên cứu tìm hiểu để có giải pháp bảo vệ an toàn hệ thống IoT là rất cần thiết. Bài viết này Tedev sẽ đề cập đến phương thức kẻ tấn công thực hiện xâm nhập vào hệ thống IoT như thế nào.
Do sự phát triển đáng kể của IoT, ngày càng có nhiều thiết bị được sử dụng phổ biến trong cuộc sống của chúng ta. Ví dụ như smart home, các thiết bị đeo trên người để theo dõi sức khỏe, hệ thống tưới tiêu tự động,smart city… có thể nói loT có ở khắp mọi nơi. Tuy nhiên, bất chấp khả năng của các thiết bị loT giúp cuộc sống của chúng ta dễ dàng và thoải mái hơn, các thiết bị loT thiếu tính bảo mật cơ bản, do đó khiến dễ bị tấn công mạng bằng các hình thức khác nhau. Mục tiêu của hacker khi khai thác các thiết bị loT là truy cập trái phép vào thiết bị và dữ liệu của người dùng. Một hacker có thể sử dụng các thiết bị loT đã bị xâm nhập để xây dựng một mạng botnet, từ đó được sử dụng để khởi động một cuộc tấn công DDoS.
Dữ liệu, vị trí, tài khoản email, thông tin tài chính và hình ảnh của bạn đều nằm trên thiết bị thông minh hoặc thiết bị loT của bạn, đối với tin tặc thì đây thực sự là một kho báu. Với việc đời sống và công nghệ ngày càng phát triển, nhu cầu mua và bán các thiết bị loT, số lượng thiết bị đang ngày càng nhiều hơn. Số lượng thiết bị loT dự kiến sẽ đạt 75 tỷ vào năm 2025. Do thiếu chính sách bảo mật, các thiết bị thông minh dễ dàng trở thành mục tiêu của tin tặc, có thể bị xâm nhập để theo dõi hoạt động của người dùng, sử dụng sai thông tin nhạy cảm (chẳng hạn như hồ sơ sức khỏe của bệnh nhân), cài đặt ransomware để chặn quyền truy cập vào thiết bị, theo dõi hoạt động của nạn nhân bằng camera quan sát, thực hiện hành vi gian lận thẻ tín dụng, truy cập vào tư gia, hoặc thêm thiết bị vào đội quân botnet để thực hiện các cuộc tấn công DDoS.
Sau đây là các giai đoạn khác nhau trong việc hack thiết bị loT:
- Thu thập thông tin
- Quét lỗ hổng bảo mật
- Khởi động các cuộc tấn công
- Có được quyền truy cập từ xa
- Duy trì quyền truy cập.
Bước đầu tiên và quan trọng nhất trong quá trình tấn công thiết bị loT là trích xuất thông tin như địa chỉ IP, các giao thức được sử dụng (Zigbee, BLE, 5G, IPv6LoWPAN, v.v.), các cổng mở, loại thiết bị, vị trí địa lý của thiết bị, số sản xuất, và công ty sản xuất thiết bị. Trong bước này, kẻ tấn công cũng xác định thiết kế phần cứng, cơ sở hạ tầng của nó và các thành phần chính được nhúng trong thiết bị mục tiêu hiện diện trực tuyến. Những kẻ tấn công sử dụng các công cụ như Shodan, Censys và Thingful để thực hiện thu thập thông tin hoặc do thám trên thiết bị mục tiêu. Các thiết bị không khả dụng trong mạng nhưng nằm trong vùng giao tiếp cũng có thể được phát hiện bằng cách sử dụng trình đánh giá như Foren6, Suphacap, CloudShark và Wireshark.
Tiếp theo, khi những kẻ tấn công thu thập thông tin về một thiết bị mục tiêu, chúng sẽ tìm kiếm các surface attack của một thiết bị (xác định các lỗ hổng) mà chúng có thể tấn công. Quét lỗ hổng bảo mật cho phép kẻ tấn công tìm thấy tổng số lỗ hổng có trong phần sụn, cơ sở hạ tầng và thành phần hệ thống của thiết bị loT có thể truy cập được. Sau khi xác định được khu vực bề mặt tấn công, kẻ tấn công sẽ quét các lỗ hổng trong khu vực đó để xác định véc tơ tấn công và thực hiện khai thác sâu hơn trên thiết bị.
Tiếp đó, sau khi đã phát hiện được các lỗ hổng bảo mật, tin tặc sẽ khai thác bằng các kỹ thuật như DDoS, rolling-code, signal jamming, Sybil, MiTM…
Sau khi đã khai thác thành công, tin tặc sẽ xâm nhập từ xa vào thiết bị mà không bị các thiết bị bảo mật như Firewall, IPS/IDS, AV… phát hiện. Việc truy cập từ xa vào thiết bị sẽ tạo nấc thang để kẻ gian tiếp tục tấn công vào các thiết bị khác trong hệ thống của nạn nhân.
Tin tặc sẽ duy trì quyền truy nhập bằng cách xóa các logs để tránh bị phát hiện, cập nhật firmware của thiết bị, cài backdoor mở cổng để từ xa truy cập tới được một cách dễ dàng.
