Зловред BrickerBot превращает IoT-гаджеты в «кирпич»
Что такое «кирпич», в который иногда превращаются гаджеты, знают не понаслышке многие гики. Речь идет об устройствах, которые нормально работают и вдруг просто не включаются и не проявляют признаки жизни. К такому плачевному результату может привести, например, неудачная прошивка устройства, проблемы с ПО гаджета или вредоносные программы. Специалисты по информационной безопасности из компании Radware обнаружили на днях зловреда, который превращает в «кирпичи» уязвимые smart-устройства. Исследователи говорят, что атаковать гаджеты это зловредное ПО начало с 20 марта этого года.
Речь идет о BrickerBot, вредоносной программе, которая существует сразу в двух инкарнациях. Первая — это BricketBot.1, вторая, соответственно, BricketBot2. Обе версии ПО атакуют только те системы, которые работают на основе Linux BusyBox. Всего за четыре дня прошлого месяца сотрудники Radware зафиксировали 2250 PDoS атак (Permanent Denial of Service, «Перманентный отказ в обслуживании») в отношении специально сконструированной обманки, которая искусно изображала из себя IoT-девайс.
Как оказалось, атаки шли с отдельных узлов, расположенных по всему миру. BrickerBot.1 после определенного количества атак замолчал, а вот BrickerBot.2 оказался более активным. Он пытался атаковать «подсадные» устройства примерно каждые два часа в течение нескольких дней. Зловред атакует плохо защищенные IoT системы по Telnet и действительно превращает их в «кирпич». BrickerBot выбирает те гаджеты, доступ к которым можно получить по дефолтным связкам логин/пароль. Пока что неясно, как именно происходит атака и почему вообще зловред пытается вывести из строя различные гаджеты.
На первом этапе атаки BrickerBot действует таким же образом, как и другие IoT-зловреды, включая Mirai. Идет брутфорс по Telnet, с подбором доступа к функциям управления скомпрометированного устройства. Как сообщили эксперты, обнаружившие BrickerBot, в его коде прописаны наиболее популярные связки логин/пароль для админки самых разных моделей устройств.
Если атака удалась и malware получило доступ в систему, начинаются попытки вывода атакованного гаджета из строя. Для этого вредонос использует несколько различных методов. У двух версий BrickerBot эти методы разные. Но цель у них одна — превращение гаджета в «кирпич».
В числе прочих методов работы с уязвимыми гаджетами используется, например, затирание данных на накопителях девайса. Кроме того, устанавливается значение net.ipv4.tcp_timestamps=0, после чего IoT гаджет не может соединиться с интернетом. Еще зловред пробует установить значение kernel.threads-max=1 вместо стандартных 10 000. Это приводит к тому, что гаджеты на основе ARM просто выходят из строя из-за остановки операций ядра.
Эксперты указывают на то, что скомпрометированный гаджет прекращает работать через несколько секунд после заражения. Интересно, что BrickerBot.1 атакует IoT устройства с разных IP адресов по всему миру, о чем уже говорилось. А вот вторая версия ботнета работает через элементы сети Tor, поэтому отследить работу этого ПО очень сложно, если вообще возможно.
Необычным отличием этого зловреда от других является то, что он не пытается соединить атакованные устройства в ботнет. На самом деле, порча IoT-гаджетов — единственная пока видимая цель BrickerBot. Эксперты предполагают, что создателями бота могут быть недовольные невниманием к проблеме кибербезопасности хакеры, которые решили проучить неосторожных владельцев.
Возможно, этот зловред действительно привлечет к указанной проблеме больше внимания, чем привычные слова о необходимости быть осторожным и менять учетную запись после покупки сетевого устройства в магазине. Тем не менее, этот способ «обучения основам инфобеза» может быть просто опасным. Например, такое ПО может вывести из строя многие камеры видеонаблюдения, которые служат какой-либо благой цели. В результате те же камеры наблюдения, которые следят за порядком на улицах городов в один прекрасный момент могут перестать работать.
«Попробуйте вообразить, что отключилась камера наблюдения в посольстве. Как это стоит рассматривать — как акт агрессии в отношении какого-то государства? Такие атаки очень легко осуществляются, я считаю, что это лишь начало. Мне бы не хотелось говорить, что это плохо, но я думаю, что есть менее разрушительные способы достичь той же цели. Например, можно начать просто исправлять уязвимости устройств. Но для этого нужно больше профессионализма», заявил Виктор Геверс (Victor Gevers), глава GDI.foundation.
Кроме того, он попросил авторов зловреда связаться с ним, чтобы попробовать запланировать какие-либо меры по исправлению текущей ситуации и разработке способов увести небезопасные IoT-гаджеты из-под удара с одновременным исправлением их проблем.