¿Cuál es el "ladrillo" en el que a veces se convierten los gadgets? Muchos geeks lo saben de primera mano. Estamos hablando de dispositivos que funcionan bien y de repente simplemente no se encienden y no muestran signos de vida. Un resultado tan deplorable puede ser, por ejemplo, un firmware fallido del dispositivo, problemas con el software del dispositivo o malware. Los especialistas en seguridad de la información de Radware
descubrieron recientemente un malware que convierte los dispositivos inteligentes vulnerables en ladrillos. Los investigadores dicen que atacar dispositivos es un programa malicioso que comenzó el 20 de marzo de este año.
Se trata de BrickerBot, un programa malicioso que existe en dos encarnaciones a la vez. El primero es BricketBot.1, el segundo, respectivamente, BricketBot2. Ambas versiones de software atacan solo aquellos sistemas que se ejecutan en Linux BusyBox. En solo cuatro días del mes pasado, los empleados de Radware
registraron 2.250 ataques PDoS (Denegación permanente de servicio, "Denegación permanente de servicio") contra un inconveniente especialmente diseñado que ingeniosamente se hizo pasar por un dispositivo IoT.
Al final resultó que, los ataques provenían de nodos separados ubicados en todo el mundo. BrickerBot.1 se quedó en silencio después de un cierto número de ataques, pero BrickerBot.2 resultó ser más activo. Trató de atacar los dispositivos "señuelo" aproximadamente cada dos horas durante varios días. El malware ataca sistemas IoT mal protegidos a través de Telnet y realmente los convierte en un "ladrillo". BrickerBot selecciona aquellos gadgets a los que se puede acceder mediante enlaces predeterminados de inicio de sesión / contraseña. Todavía no está claro exactamente cómo ocurre el ataque y por qué el malware está tratando de desactivar varios dispositivos.
En la primera fase del ataque, BrickerBot actúa de la misma manera que otros malware de IoT, incluido Mirai. Existe una fuerza bruta en Telnet, con la selección de acceso a las funciones de administración del dispositivo comprometido. Según los expertos que descubrieron BrickerBot, su código contiene las combinaciones de inicio de sesión / contraseña más populares para el panel de administración de una amplia variedad de modelos de dispositivos.
Si el ataque tiene éxito y el malware obtiene acceso al sistema,
comenzarán los intentos de deshabilitar el dispositivo atacado. Para hacer esto, el malware utiliza varios métodos diferentes. Dos versiones de BrickerBot tienen métodos diferentes. Pero tienen un objetivo: convertir el dispositivo en un "ladrillo".
Entre otros métodos de trabajo con dispositivos vulnerables, por ejemplo, se utiliza la sobrescritura de datos en unidades de dispositivos. Además, se establece net.ipv4.tcp_timestamps = 0, después de lo cual el dispositivo IoT no puede conectarse a Internet. Otro malware está tratando de establecer el valor kernel.threads-max = 1 en lugar del estándar 10,000. Esto lleva al hecho de que los gadgets basados en ARM simplemente fallan debido a la detención de las operaciones del kernel.
Los expertos señalan que un dispositivo comprometido deja de funcionar unos segundos después de la infección. Curiosamente, BrickerBot.1 ataca dispositivos IoT desde diferentes direcciones IP en todo el mundo, como ya se mencionó. Pero la segunda versión de la botnet funciona a través de los elementos de la red Tor, por lo que el seguimiento del funcionamiento de este software es muy difícil, si es posible.
Una diferencia inusual entre este malware y otros es que no intenta conectar los dispositivos atacados a la botnet. De hecho, estropear los dispositivos de IoT es el único objetivo visible de BrickerBot. Los expertos sugieren que los creadores del bot pueden ser piratas informáticos que no están satisfechos con la falta de atención al problema de la ciberseguridad, que decidieron enseñar una lección a los descuidados propietarios.
Quizás este malware realmente atraerá más atención a este problema que las palabras habituales sobre la necesidad de tener cuidado y cambiar la cuenta después de comprar un dispositivo de red en la tienda. Sin embargo, este método de "aprender los conceptos básicos de seguridad de la información" puede ser simplemente peligroso. Por ejemplo, dicho software puede deshabilitar muchas cámaras de vigilancia que tienen un buen propósito. Como resultado, las mismas cámaras de vigilancia que monitorean el orden en las calles de las ciudades en un punto pueden dejar de funcionar.
“Trata de imaginar que la cámara de vigilancia en la embajada se apagó. ¿Cómo vale la pena considerarlo como un acto de agresión contra un estado? Tales ataques son muy fáciles de llevar a cabo, creo que esto es solo el comienzo. No quisiera decir que esto es malo, pero creo que hay formas menos destructivas de lograr el mismo objetivo. Por ejemplo, puede comenzar simplemente reparando las vulnerabilidades del dispositivo. Pero eso requiere más profesionalismo ”, dijo Victor Gevers, jefe de la fundación GDI.
Además, pidió a los autores de malware que lo contactaran para tratar de planificar algunas medidas para corregir la situación actual y desarrollar formas de eliminar los dispositivos IoT inseguros para que no sean atacados mientras se solucionan sus problemas.