Одно из самых тихих преступлений сегодня, это кража вычислительных ресурсов, маскирующаяся под бездействие старого устройства. То, что кажется простаивающим железом, может быть нагруженным узлом в чужой сети, а счёт за электричество — твоей оплатой за чужие операции.
Коробка с древним DVD-плеером в углу подвала или на антресолях кажется абсолютно безвредной. Но если у этого устройства когда-то была функция выхода в интернет, его потенциал для новой жизни не ограничивается ностальгическим просмотром фильмов. Это полноценный компьютер со специализированной операционной системой, процессором, памятью и сетевым интерфейсом. В эпоху IoT-ботнетов и криптоджекинга такие забытые узлы становятся ценным ресурсом.
Архитектура скрытых возможностей
Современный DVD- или Blu-Ray плеер с поддержкой онлайн-сервисов, это не просто «проигрыватель». Под корпусом скрывается встраиваемая система на чипе, архитектура которой роднит его с первыми маршрутизаторами или одноплатными компьютерами. Часто используется процессор на архитектуре ARM или MIPS, оперативная память объёмом от 64 до 256 МБ и флеш-память под прошивку. Ключевой элемент — сетевая карта (Ethernet или Wi-Fi-модуль), которая изначально служила для загрузки обновлений или доступа к онлайн-кинотеатрам.
Прошивка таких устройств, это кастомизированная версия Linux или другого Unix-подобного ядра. Производитель накладывает поверх графическую оболочку и ограниченный набор приложений. Однако сама природа системы открывает возможность для модификации. Энтузиасты давно взламывают прошивки, чтобы получить root-доступ и установить на плеер, например, медиасервер или клиент торрентов. Этот же принцип используется злоумышленниками, но с другими целями.
Как «спящее» устройство становится частью ботнета
Сценарий заражения редко предполагает целенаправленную атаку на конкретный плеер. Чаще работает массовое сканирование интернета. Злоумышленники используют автоматизированные скрипты, которые ищут в сети устройства с открытыми портами, характерными для сервисов удалённого управления или обновления прошивки. Например, порт 23 (Telnet) или 22 (SSH) с заводскими или слабыми учётными данными.
Найдя уязвимое устройство, скрипт выполняет последовательность действий:
- Эксплуатация уязвимости для получения привилегированного доступа к оболочке (shell).
- Загрузка и запуск на устройстве небольшого «дроппера» — программы-загрузчика.
- Дроппер связывается с командным сервером (C2) и загружает основное вредоносное ПО, адаптированное под архитектуру процессора плеера (ARM/MIPS).
- Вредоносное ПО прописывает себя в автозагрузку, маскируясь под системный процесс, и стирает следы взлома.
После этого устройство становится частью ботнета — сети таких же заражённых девайсов, управляемых из единого центра. Владелец может даже не заметить изменений: индикатор сети может моргать чуть чаще, а устройство будет слегка теплее на ощупь, что легко списать на работу встроенных часов или режим ожидания.
Экономика криптоджекинга на слабом железе
Прямой майнинг Bitcoin или Ethereum на ARM-процессоре десятилетней давности абсолютно нерентабелен. Его вычислительной мощности не хватит даже для покрытия расходов на электричество. Однако это не делает устройство бесполезным для криптоджекинга — несанкционированного использования чужих ресурсов для майнинга.
Актуальны две модели:
- Майнинг альткоинов на алгоритмах, адаптированных под CPU. Существуют криптовалюты, чьи алгоритмы консенсуса (например, RandomX для Monero) специально разработаны для эффективной работы на обычных процессорах, чтобы противостоять доминированию ASIC-майнеров. Слабая мощность одного плеера компенсируется масштабом ботнета в десятки тысяч таких устройств.
- Участие в иных блокчейн-операциях. Ботнет может использоваться не для создания новых блоков, а для выполнения платных вычислений в децентрализованных сетях, для запуска узлов-валидаторов в менее требовательных блокчейнах или для обеспечения работы смежных сервисов, где важна не чистая мощность, а количество распределённых IP-адресов.
Электричество оплачивает владелец устройства. Для злоумышленника затраты нулевые, а весь полученный доход — чистый. Даже с учётом невысокой индивидуальной мощности, совокупный хешрейт крупного ботнета может приносить ощутимый, хотя и не гигантский, доход.
Риски, выходящие за рамки счёта за электричество
Повышенное энергопотребление — лишь самый очевидный симптом. Наличие в домашней или корпоративной сети скомпрометированного устройства создаёт более серьёзные угрозы:
- Точка входа для атаки на сеть. Заражённый плеер становится плацдармом внутри защищённого периметра. С него можно сканировать и атаковать другие устройства в локальной сети: компьютеры, сетевые хранилища, камеры.
- Участие в DDoS-атаках. Ботнет из медиаплееров может быть использован для организации мощных распределённых атак на отказ в обслуживании, направляя трафик на целевые серверы.
- Нарушение требований регуляторов. Для организаций, подпадающих под действие 152-ФЗ или требований ФСТЭК, несанкционированное сетевое устройство, ведущее активный обмен трафиком с внешними хостами,, это инцидент информационной безопасности. Его наличие может привести к нарушениям в системе персональных данных и повлечь штрафы.
Методы обнаружения и нейтрализации
Обнаружить нежелательную активность можно несколькими способами:
- Мониторинг сетевой активности. В роутере с расширенными функциями можно проверить список подключённых устройств и графики их сетевой активности. Постоянный высокий уровень исходящего/входящего трафика у «простаивающего» плеера — тревожный признак.
- Анализ потребления энергии. Использование ваттметра покажет, если устройство в «выключенном» состоянии потребляет 15-20 Вт вместо положенных 1-3 Вт в режиме standby.
- Проверка поведения устройства. Нехарактерно долгая загрузка, самопроизвольные перезагрузки или нестабильная работа могут указывать на наличие посторонней нагрузки.
Наиболее радикальный и надёжный метод защиты — физическое отключение устройства от сети, когда оно не используется. Если функционал интернета не нужен, стоит в настройках роутера заблокировать плееру доступ во внешнюю сеть или отключить на нём сетевой интерфейс. Для старых устройств, поддержка которых прекращена, безопаснее всего считать их неподключаемыми сетевыми устройствами и использовать только для чтения локальных носителей.
Скрытая эволюция встроенных систем
История с потенциальным заражением старых медиаплееров, это частный случай общей проблемы безопасности Интернета вещей. Производители закладывают в устройства ровно столько вычислительных ресурсов, сколько нужно для заявленных функций, экономя на всём, включая безопасность. Обновления прошивок выпускаются недолго, а после окончания жизненного цикла продукта уязвимости в нём остаются навсегда.
При этом аппаратная начинка часто обладает скрытым запасом мощности. Этот парадокс — слабая защита при наличии неиспользуемых ресурсов — и создаёт идеальную среду для ботнетов. Устройство не выбрасывается, потому что «вдруг пригодится», годами сохраняет физическую способность к подключению, но выпадает из поля зрения с точки зрения кибергигиены.
Ситуация меняется с появлением новых регуляторных требований к IoT-устройствам, но они касаются в основном новой техники. Парк из миллионов старых умных телевизоров, плееров и приставок остаётся «тёмной материей» цифрового мира — незаметной, но обладающей массой и способной влиять на общую экосистему безопасности.