Что такое «кирпич», в который иногда превращаются гаджеты, знают не понаслышке многие гики. Речь идет об устройствах, которые нормально работают и вдруг просто не включаются и не проявляют признаки жизни. К такому плачевному результату может привести, например, неудачная прошивка устройства, проблемы с ПО гаджета или вредоносные программы. Специалисты по информационной безопасности из компании Radware обнаружили на днях зловреда, который превращает в «кирпичи» уязвимые smart-устройства. Исследователи говорят, что атаковать гаджеты это зловредное ПО начало с 20 марта этого года.
Речь идет о BrickerBot, вредоносной программе, которая существует сразу в двух инкарнациях. Первая — это BricketBot.1, вторая, соответственно, BricketBot2. Обе версии ПО атакуют только те системы, которые работают на основе Linux BusyBox. Всего за четыре дня прошлого месяца сотрудники Radware зафиксировали 2250 PDoS атак (Permanent Denial of Service, «Перманентный отказ в обслуживании») в отношении специально сконструированной обманки, которая искусно изображала из себя IoT-девайс.
Как оказалось, атаки шли с отдельных узлов, расположенных по всему миру. BrickerBot.1 после определенного количества атак замолчал, а вот BrickerBot.2 оказался более активным. Он пытался атаковать «подсадные» устройства примерно каждые два часа в течение нескольких дней. Зловред атакует плохо защищенные IoT системы по Telnet и действительно превращает их в «кирпич». BrickerBot выбирает те гаджеты, доступ к которым можно получить по дефолтным связкам логин/пароль. Пока что неясно, как именно происходит атака и почему вообще зловред пытается вывести из строя различные гаджеты.
На первом этапе атаки BrickerBot действует таким же образом, как и другие IoT-зловреды, включая Mirai. Идет брутфорс по Telnet, с подбором доступа к функциям управления скомпрометированного устройства. Как сообщили эксперты, обнаружившие BrickerBot, в его коде прописаны наиболее популярные связки логин/пароль для админки самых разных моделей устройств.
Если атака удалась и malware получило доступ в систему, начинаются попытки вывода атакованного гаджета из строя. Для этого вредонос использует несколько различных методов. У двух версий BrickerBot эти методы разные. Но цель у них одна — превращение гаджета в «кирпич».
В числе прочих методов работы с уязвимыми гаджетами используется, например, затирание данных на накопителях девайса. Кроме того, устанавливается значение net.ipv4.tcp_timestamps=0, после чего IoT гаджет не может соединиться с интернетом. Еще зловред пробует установить значение kernel.threads-max=1 вместо стандартных 10 000. Это приводит к тому, что гаджеты на основе ARM просто выходят из строя из-за остановки операций ядра.
Эксперты указывают на то, что скомпрометированный гаджет прекращает работать через несколько секунд после заражения. Интересно, что BrickerBot.1 атакует IoT устройства с разных IP адресов по всему миру, о чем уже говорилось. А вот вторая версия ботнета работает через элементы сети Tor, поэтому отследить работу этого ПО очень сложно, если вообще возможно.
Необычным отличием этого зловреда от других является то, что он не пытается соединить атакованные устройства в ботнет. На самом деле, порча IoT-гаджетов — единственная пока видимая цель BrickerBot. Эксперты предполагают, что создателями бота могут быть недовольные невниманием к проблеме кибербезопасности хакеры, которые решили проучить неосторожных владельцев.
Возможно, этот зловред действительно привлечет к указанной проблеме больше внимания, чем привычные слова о необходимости быть осторожным и менять учетную запись после покупки сетевого устройства в магазине. Тем не менее, этот способ «обучения основам инфобеза» может быть просто опасным. Например, такое ПО может вывести из строя многие камеры видеонаблюдения, которые служат какой-либо благой цели. В результате те же камеры наблюдения, которые следят за порядком на улицах городов в один прекрасный момент могут перестать работать.
«Попробуйте вообразить, что отключилась камера наблюдения в посольстве. Как это стоит рассматривать — как акт агрессии в отношении какого-то государства? Такие атаки очень легко осуществляются, я считаю, что это лишь начало. Мне бы не хотелось говорить, что это плохо, но я думаю, что есть менее разрушительные способы достичь той же цели. Например, можно начать просто исправлять уязвимости устройств. Но для этого нужно больше профессионализма», заявил Виктор Геверс (Victor Gevers), глава GDI.foundation.
Кроме того, он попросил авторов зловреда связаться с ним, чтобы попробовать запланировать какие-либо меры по исправлению текущей ситуации и разработке способов увести небезопасные IoT-гаджеты из-под удара с одновременным исправлением их проблем.
Комментарии (20)
hdfan2
08.04.2017 15:03+1Жестоко, конечно, а что ещё делать? Если всем на безопасность насрать — и производителям, и пользователям? Сказать «ваш роутер используется для ддоса»? О боже, да всем наплевать! Пока девайс реально не окирпичится, и пока разгневанные покупатели не окружат офис производителя с вилами и факелами, никто и пальцем не пошевелит. Вы думаете, поговорка про гром и мужика чисто русская? Поэтому, хоть и с огромной неохотой, но поддерживаю создателей этого зловреда.
selivanov_pavel
08.04.2017 16:05+1, жестоко, но действенно. Глава GDI.foundation вообще повеселил, "Давайте просто скажем производителям, чтобы перестали делать дырявое г-но? Это точно исправит ситуацию".
Contriver
08.04.2017 15:57Вот интересно, чтобы настроить новое IoT устройство бывает необходимо подключить его к интернету.
Я как параноик, всегда стараюсь менять дефолтный пароль, перед включением чего либо в сеть.
И видимо не зря.
А некоторые особо одарённые производители для настроек и смены пароля требуют обязательное подключение к интернету. Аргументирую тем что у них нет места в памяти устройства или что так будет удобно пользователю.
Подключили новёхонькое устройство с дефолтным паролем и получите, его нашёл вредоносный вирус и окирпичил. Хорошо что гарантия есть.
Может получив возвраты производители задумаются о безопасности, но я сильно в этом сомневаюсь!
Alexeyslav
11.04.2017 09:09Камера от Hikvision — первым шагом в конфигурации камеры это установка пароля, и пока не установишь — дальше не пустит. И сменить его без знания старого — никак.
DnD_designer
11.04.2017 11:32Даже HardReset не поможет?
Это очень плохо, учитывая, что пароль может установить человек, который по тем или иными причинам давно уже не работает на прежнем месте работы.Alexeyslav
11.04.2017 16:44Для этого существуют администраторы и папочка с актуальными паролями от оборудования в сейфе.
На каких-то камерах есть кнопка сброса настроек, а на каких-то нет ничего и пароль сбросить в случае забыл — при помощи специальной утилиты под винду через сайт производителя, с использованием серийника от камеры.
MyFearGear
08.04.2017 16:29(Permanent Denial of Service, «Перманентный отказ в обслуживании»)
«Перманентный Дениал оф Сервис» тогда уж, извините
arcman
08.04.2017 18:21Вариант закрытия дыры и последующего использования зараженного устройства для поиска других уязвимых устройств кажется мне получше.
Ivan_83
09.04.2017 23:15+1Просто ты теоретег.
На практике производители говнокодят и получают профит. Чтобы там что то залатать нужно потратить дохрена времени и сил… и продолжать это делать дальше бесплатно, пока говнокодеры гребут бабло лопатой.
Чего ради проявлять такой альтруизм и где брать деньги на жизнь?
С окирпичиванием получается удар не по пользователям а по говнокодерам.
Пользователь просто вернёт обратно в зад этот мусор или выбросит и больше у того вендора ничего не купит.
С другой стороны нормальные вендоры, если они есть, сгребут всех юзеров ибо их девайсы не окирпичиваются при виде инета.
u010602
10.04.2017 00:40У меня этой зимой окирпичилась P2P веб-камера, недавно нашел ее в перечне камер доступных для взлома. Теперь эта новость. Интересно как проверить что дело в этом зловреде? И как восстановить устройство? Только перепрошивка с выпаиванием ПЗУ?
VJean
11.04.2017 05:52Подключится по UART и глянуть насколько там плохо. Если загрузчик жив, то попробовать восстановить прошивку через TFTP.
Иначе вариант с JTAG.
Тут еще проблема в том, что не все производители выводят на плату эти интерфейсы, а если выведены, то надо постараться их найти. UART со штырьками встречается в роутерах.
sotnikdv
10.04.2017 08:15+1Ну что ж, я наверное предпочту, что бы моя камера брикнулась, чем что-бы с нее стримили куда не попадя. Аналогично с роутером.
Также ИМХО это единственный способ заставить разработчиков следить за безопасностью своих продуктовDnD_designer
11.04.2017 11:42Ну что ж, я наверное предпочту, что бы моя камера брикнулась, чем что-бы с нее стримили куда не попадя. Аналогично с роутером.
Одно другому не мешает. Могут сначала постримить несколько лет, потом брикнуть на прощание.
Garbus
Эмм, как? Что за посольство такое, где камеры торчат в интернет, позволяя себя брутфорсить и в принципе как-то видимых? И совсем странная ситуация с оставлением заводского логина/пароля.
buggykey
Видимо, это посольство секты поклонников мантры «Нам скрывать нечего!», которые сначала пользуются устройствами и софтом с бэкдорами, оставленными производителем, яростно повторяя мантру, а потом, когда у них украли действительно конфиденциальную информацию, начинают орать: «Ой! Какие плохие хакеры!».