Специалисты по кибербезопасности обнаружили в сети новое зловредное ПО, которое направлено на блокирование работы IoT-гаджетов. Вредонос был запущен в сеть пару дней назад, но за это время ему удалось поразить несколько тысяч гаджетов. Атака продолжается до сих пор, а ее автором, предположительно, является 14-летний подросток из Ирана.
Первыми на проблему обратили внимание специалисты компании Akamai. Ее представители заявили, что вирус, который получил название Silex, ищет устройства, к которым можно подключиться по Telnet, коннектится, а затем заполняет все найденные накопители произвольными данными. Кроме того, зловред сбрасывает к фабричным настройкам сетевые подключения и сетевые экраны, после чего блокирует работу гаджета.
В результате таких действий пострадавший девайс превращается в «кирпич». Вернуть к жизни устройство можно только после его перепрошивки. Для владельца девайса все это выглядит так, словно устройство сломалось.
Silex атакует гаджеты с Unix-подобными системами, правда, только те из них, где данные доступа являются дефолтными. Один из экспертов по сетевой безопасности перехватил и проанализировал файл, который передавался вирусом в ARM-устройства. Кроме, того, изучен и Bash-скрипт, который дает возможность выполнять аналогичные зловреду задачи. Его можно использовать на устройствах с любой архитектурой.
О том, что вирус разработан в Иране, может свидетельствовать то, что IP-адрес, с которого осуществляется атака на IoT-гаджеты, принадлежит иранскому провайдеру.
Представители другой компании, которая специализируется на кибербезопасности, Newsky Security связались с предполагаемым создателем вируса. Как оказалось, это 14-летний подросток, который, впрочем, уже совершал масштабные атаки на пользователей сети в прошлом. Так, он считается автором ботнета HITO, который также «специализировался» на атаках IoT-устройств.
Он рассказал, что сам зловред разрабатывался в качестве шутки, но неожиданно он оказался весьма действенным. Теперь подросток уделяет основное внимание Silex. По словам злоумышленника, он планирует сделать свое творение более функциональным и опасным. В частности, кроме Telnet будет добавлен еще и протокол SSH, также возможности зловреда будут расширены за счет набора эксплоитов.
По функциональности и принципу действия вредонос похож на Brickerbot, который активно действовал в апреле-сентябре 2017 года. Он также искал устройства с дефолтными наборами учетных данных, а затем, в случае успеха, выполнял ряд действий, которые выводили гаджет из строя. За все время своего существования этот зловред поразил около 10 миллионов устройств.
Комментарии (9)
Kaluchi
27.06.2019 09:48+3О том, что вирус разработан в Иране, может свидетельствовать то, что IP-адрес, с которого осуществляется атака на IoT-гаджеты, принадлежит иранскому провайдеру.
Так себе доказательство, если честно..
YMA
27.06.2019 09:56+2Ожидал увидеть троян, протирающий флеш-память в устройстве до дырок. А тут — замусоривание накопителя, которое лечится перепрошивкой… Фи.
iig
27.06.2019 10:26Непонятен смысл затеи. Ладно бы ботнет сделать, это интересно, и может принести автору пользу. А так польза только для продавцов этих гаджетов (вместо зависших кто-то купит новые). 14 лет, обезьяна с гранатой..
lanseg
27.06.2019 12:02+1Большинство школьников, которые открыли для себя программирование, делают это.
Форк-бомбы, скрипты, которые рекурсивно создают папки с миллионами подпапок с миллионами подпапок и прочие подобные развлечения вполне типичны.
freeExec
28.06.2019 09:28А может он в сердцах желает повышения информационной грамотности населения мира.
impwx
27.06.2019 10:46Теперь подросток уделяет основное внимание Silex. По словам злоумышленника, он планирует сделать свое творение более функциональным и опасным.
Не нужно брать у ушлепков интервью, расчесывая их ЧСВ и гламуризируя аморальное и противозаконное поведение.
UnrealQW
27.06.2019 12:55Возможно, он делает хорошее дело. Дефолтные настройки — путь к элементарному взлому и проникновению. Лучше уж «кирпич», чем еще один спамо-бот в сети.
osmanpasha
27.06.2019 16:05А как он распространяется-то? Школьник просто на своей машине сканирует все публичные ip?
GBK