Обнаруженный honeypot-серверами ИБ-компании Radware зловред под названием BrickerBot нацелен на IoT-устройства, работающие под ОС Linux с пакетом BusyBox. Первые атаки, по словам исследователей, начались 20 марта.

Известно, что зловред существует в двух версиях (BrickerBot.1 и BrickerBot.2), поражает память устройств и компрометирует работу ядра системы.

В начале атаки обе версии работают одинаково: они пытаются провести брутфорс-атаку на открытые Telnet-порты — как Mirai, Hajime и другие виды IoT-зловредов, BrickerBot использует список дефолтных учетных данных. В случае успеха BrickerBot выполняет ряд Linux-команд, и в дальнейшем версии вредоносного ПО работают по-разному, выполняют различные команды, но в конечном итоге преследуют одну и ту же цель.

BrickerBot прописывает случайные биты в память устройства, из-за чего флеш-накопитель становится бесполезным. Затем отключаются временные метки TCP, то есть при сохранении интернет-подключения его работа нарушается. После этого зловред задает максимальный показатель потоков ядра на 1, что останавливает все операции, выполняемые на ядре.

После перезагрузки устройства зловредом IoT-устройство перестает работать и становится полностью бесполезным — это происходит буквально через несколько минут после заражения. Такие атаки называются PDoS (Permanent Denial of Service), постоянный отказ в обслуживании. Телеметрические данные ловушек Radware показали, что за четыре дня были зафиксированы 1895 попыток PDoS-атак.

Для распространения каждый из вариантов BrickerBot использует свою инфраструктуру: BrickerBot.1 распространяется через IP-адреса сетевых устройств Ubiquiti на устаревшей версии Dropbear SSH server. BrickerBot.2 — более усовершенствованная версия BrickerBot, способная выполнять намного больше команд. Так как IP-адреса, задействованные в атаке, скрыты в сети Tor, происхождение атаки практически невозможно отследить. Однако пока атак с использованием более мощной версии зловреда намного меньше.

По словам исследователей, BrickerBot — новое слово в сфере IoT-зловредов. Обычно IoT-зловреды используются для создания масштабных ботнетов, которые, в свою очередь, пригодятся для DDoS-атак вроде той, что поразила ряд операторов и провайдеров по всему миру. Но деструктивная природа BrickerBot — это нечто необычное: непонятно, как функциональность зловреда может пригодиться киберпреступникам: атакованные им устройства больше ни на что не годятся.

Возможно, это работа хактивиста, желающего обратить внимание на низкую степень защищенности IoT-девайсов. Тем не менее работа этого «борца с несправедливостью» вредит устройствам, хотя истории известны и противоположные случаи. Например, в октябре 2015 года исследователи докладывали о противоположном случае хактивизма: IoT-зловред Linux.Wifatch искал незащищенные роутеры и сам исправлял ошибки конфигурации. Позже исходный код «зловреда» был выложен на GitHub.

Мотивация создателей BrickerBot неясна, а действия опасны: как подчеркнули некоторые эксперты, выведение таким образом из строя камеры наблюдения на здании посольства может де-юре считаться актом агрессии.

Специалисты призывают создателей BrickerBot направить свою энергию в созидательное русло, подчеркивая, что послание услышано. Представители Radware готовы работать с неизвестными хакерами, чтобы улучшить ситуацию с безопасностью IoT-устройств.

Категории: Аналитика, Вредоносные программы, Главное