Правда ли, что 3 млн умных зубных щёток провели DDoS-атаку на сайт швейцарской компании?

В феврале 2024 года в интернете разошлась новость о хакерах, которые якобы взломали 3 млн умных зубных щёток, объединили их в ботнет и на несколько часов обрушили сайт некой крупной швейцарской компании. Мы решили проверить, достоверны ли такие сведения.

Новость начала распространяться в Рунете 7 февраля. О том, что хакеры заразили вредоносным ПО зубные щётки и благодаря этому провели успешную кибератаку, написали как российские федеральные СМИ (в частности, Lenta.ru, «Российская газета», «Газета.ru», «Взгляд» и «Комсомольская правда»), так и специализированные сайты (SecurityLab, 3DNews и IXBT).

DDoS-атака (Distributed Denial of Service — отказ в обслуживании) — это вид кибератаки, в ходе которой злоумышленник нарушает работу сайта, сети или онлайн-сервиса, перегружая их огромным количеством запросов. Для проведения DDoS-атаки требуется ботнет — сеть распределённых заражённых устройств. В качестве элементов ботнета могут использоваться любые устройства, имеющие доступ в интернет, то есть роутеры, компьютеры, смартфоны и т. д. Собранный из такой техники ботнет способен и рассылать спам, и проводить DDoS-атаку, и майнить криптовалюту. Например, в 2016 году ботнет Mirai, состоящий в основном из умных видеокамер и видеорегистраторов, атаковал сайт журналиста Брайана Кребса.

Однако зубные щётки, как и многие другие умные устройства, не имеют доступа в интернет. С приложением, которое управляет гаджетом, они связываются через протокол Bluetooth. Его рабочий диапазон — от метра до километра (при отсутствии препятствий и крайне высокой мощности передатчика). В зубных щётках обычно ставят передатчики с небольшим диапазоном действия. Точных характеристик производители обычно не выкладывают, но указывают, что для подключения щётки к приложению требуется, чтобы они находились на малом расстоянии друг от друга. Провести DDoS-атаку через протокол Bluetooth на сервер сайта невозможно.

Авторы многих публикаций в российских СМИ ссылались на англоязычный портал Tom’s Hardware, где 7 февраля появилась заметка под названием «3 млн заражённых вредоносным ПО умных зубных щёток использованы в DDoS-атаках в Швейцарии: ботнет причинил ущерб в миллионы евро». Журналист, написавший этот материал, в свою очередь, основывался на обнародованной ещё 30 января статье швейцарского издания Aargauer Zeitung. Она была посвящена различным киберугрозам, в качества эксперта свои комментарии для материала предоставил Стефан Цугер, глава отдела системной инженерии в швейцарском подразделении компании Fortinet, которая занимается кибербезопасностью.

Статья в Aargauer Zeitung на немецком языке доступна только платным подписчикам. Бесплатно все читатели могут ознакомиться лишь с первыми несколькими предложениями — именно там приводится ставшая вирусной история. Далее в тексте говорится: «Пример, который кажется сценарием голливудского фильма, действительно имел место. Он показывает, насколько разнообразными могут стать цифровые атаки». Затем автор заметки приводит цитату Цугера: «Каждое устройство, подключённое к интернету, является потенциальной целью или может быть использовано для атаки».

Когда новость стала вирусной, а пересказывающие её издания начали ссылаться на экспертную оценку Цугера, Fortinet поспешила подчеркнуть, что их сотрудник говорил о гипотетической возможности такой атаки. «Похоже, при переводе рассказ на эту тему растянулся до такой степени», — говорится в комментарии компании для портала Bleeping Computer. Редакция Aargauer Zeitung обновила текст статьи, заменив фразу «действительно имел место» на «может стать реальностью». Одновременно журналисты дополнили статью дисклеймером, в котором утверждается, что Цугер предоставил конкретные детали и случай с зубными щётками был описан им как реальный, а не гипотетический. В отдельной статье утверждается, что эксперт из Fortinet не стал раскрывать название компании, но текст был представлен спикеру для проверки перед публикацией и никаких замечаний, что речь идёт лишь о гипотетическом сценарии, от него не поступило. Также отмечается, что именно Fortinet предоставили данные о длительности атаки и размере ущерба. 

Специалисты в сфере кибербезопасности говорят, что им неизвестно ни об одной атаке, проведённой с помощью зубных щёток. Нет такой информации и в авторитетных изданиях, посвящённых киберугрозам. Эксперты предполагают, что события могли развиваться так: «Скорее всего, эксперт (то есть Цугер. — Прим. ред.) мог сказать, что вредоносной программой могли бы быть заражены до миллиона компьютеров, к которым подключаются умные зубные щётки, например, для сбора статистики. Поскольку в обычной европейской семье умные зубные щётки есть в среднем у трёх членов, так из "миллиона компьютеров" получилось "3 млн зубных щёток"». Однако эта версия не объясняет утверждения Aargauer Zeitung о том, что Цугер указал продолжительность атаки и конкретизировал нанесённый ущерб. 

В теории подобная атака возможна только при участии ещё до 3 млн устройств, подключённых к Сети и связанных по Bluetooth со щётками. Щётки могут быть заражены только через подключённые к ним приложения, обменивающиеся данными с сервером (вариант с заражением миллионов устройств на складе производителя выглядит почти невероятным). В этом случае гипотетически, если такое количество умных устройств одного производителя одновременно обратится через связанные компьютеры и смартфоны на сайт компании — например, за обновлением ПО, — сайт не выдержит такой нагрузки. Возможно, именно этот сценарий описывал Цугер, однако не дал журналистам достаточных деталей для верного понимания. Вместе с тем эта гипотеза тоже не объясняет, почему сотрудник Fortinet, если верить редакции Aargauer Zeitung, указал время атаки и нанесённый ущерб. Без аудиопротокола беседы спикера и журналиста установить такие детали невозможно.

Таким образом, 3 млн зубных щёток точно не создавали ботнет и не проводили DDoS-атаку на сайт — у этих гаджетов нет доступа в интернет, и провести такую атаку только с их помощью невозможно. Вероятно, в пояснениях эксперта по кибербезопасности, на изложения которых в швейцарском издании ссылались другие СМИ, речь шла не только о щётках, но и о телефонах или других устройствах, к которым они были подключены. Однако версии журнала, опубликовавшего интервью, и компании, где работает эксперт, о том, шла речь в комментарии о реальной атаке или гипотетическом сценарии, расходятся.

Изображение на обложке: Electric Teeth, CC BY 2.0, via Wikimedia Commons