Quelle est la "brique" dans laquelle les gadgets se transforment parfois, de nombreux geeks le savent de première main. Nous parlons d'appareils qui fonctionnent bien et qui, tout à coup, ne s'allument pas et ne montrent aucun signe de vie. Un tel résultat déplorable peut être, par exemple, un micrologiciel non réussi de l'appareil, des problèmes avec le logiciel du gadget ou un logiciel malveillant. Les spécialistes de la sécurité de l'information de Radware ont récemment
découvert un malware qui transforme les appareils intelligents vulnérables en briques. Les chercheurs disent que l'attaque des gadgets est un programme malveillant qui a commencé le 20 mars de cette année.
Il s'agit de BrickerBot, un programme malveillant qui existe dans deux incarnations à la fois. Le premier est BricketBot.1, le second, respectivement, BricketBot2. Les deux versions logicielles attaquent uniquement les systèmes qui s'exécutent sur Linux BusyBox. En seulement quatre jours du mois dernier, les employés de Radware ont
enregistré 2 250 attaques PDoS (déni de service permanent, «déni de service permanent») contre un accroc spécialement conçu qui se présentait astucieusement comme un dispositif IoT.
Il s'est avéré que les attaques provenaient de nœuds distincts situés dans le monde entier. BrickerBot.1 est devenu silencieux après un certain nombre d'attaques, mais BrickerBot.2 s'est avéré plus actif. Il a tenté d'attaquer les appareils "leurres" toutes les deux heures environ pendant plusieurs jours. Le malware attaque les systèmes IoT mal protégés via Telnet et les transforme vraiment en "brique". BrickerBot sélectionne les gadgets accessibles par des liens de connexion / mot de passe par défaut. On ne sait toujours pas exactement comment l'attaque se produit et pourquoi le malware essaie de désactiver divers gadgets.
Dans la première phase de l'attaque, BrickerBot agit de la même manière que les autres logiciels malveillants IoT, y compris Mirai. Il existe une bruteforce sur Telnet, avec la sélection de l'accès aux fonctions de gestion de l'appareil compromis. Selon les experts qui ont découvert BrickerBot, son code contient les combinaisons de connexion / mot de passe les plus populaires pour le panneau d'administration d'une grande variété de modèles d'appareils.
Si l'attaque réussit et que le malware accède au système, les tentatives de désactivation du gadget attaqué
commenceront . Pour ce faire, le malware utilise plusieurs méthodes différentes. Deux versions de BrickerBot ont des méthodes différentes. Mais ils n'ont qu'un objectif: transformer le gadget en "brique".
Parmi d'autres méthodes de travail avec des gadgets vulnérables, par exemple, l'écrasement des données sur les lecteurs de périphérique est utilisé. En outre, net.ipv4.tcp_timestamps = 0 est défini, après quoi le gadget IoT ne peut pas se connecter à Internet. Un autre malware essaie de définir la valeur kernel.threads-max = 1 au lieu de 10 000. Cela conduit au fait que les gadgets basés sur ARM échouent simplement en raison de l'arrêt des opérations du noyau.
Les experts soulignent qu'un gadget compromis cesse de fonctionner quelques secondes après l'infection. Fait intéressant, BrickerBot.1 attaque les appareils IoT à partir de différentes adresses IP à travers le monde, comme déjà mentionné. Mais la deuxième version du botnet fonctionne à travers les éléments du réseau Tor, donc le suivi du fonctionnement de ce logiciel est très difficile, si possible.
Une différence inhabituelle entre ce logiciel malveillant et d'autres est qu'il n'essaie pas de connecter les appareils attaqués au botnet. En fait, gâcher les gadgets IoT est la seule cible visible de BrickerBot. Les experts suggèrent que les créateurs du bot peuvent être des hackers insatisfaits du manque d'attention au problème de la cybersécurité, qui ont décidé de donner des cours aux propriétaires imprudents.
Peut-être que ce malware attirera vraiment plus l'attention sur ce problème que les mots habituels sur la nécessité d'être prudent et de changer de compte après avoir acheté un appareil réseau dans le magasin. Néanmoins, cette méthode «d'apprentissage des bases de la sécurité de l'information» peut être tout simplement dangereuse. Par exemple, un tel logiciel peut désactiver de nombreuses caméras de surveillance utiles. En conséquence, les mêmes caméras de surveillance qui surveillent l'ordre dans les rues des villes à un moment donné peuvent cesser de fonctionner.
«Essayez d'imaginer que la caméra de surveillance de l'ambassade s'est éteinte. Comment cela vaut-il la peine d'être considéré - comme un acte d'agression contre un État? De telles attaques sont très faciles à mener, je pense que ce n'est qu'un début. Je ne voudrais pas dire que c'est mauvais, mais je pense qu'il existe des moyens moins destructeurs pour atteindre le même objectif. Par exemple, vous pouvez commencer par corriger simplement les vulnérabilités des appareils. Mais cela nécessite plus de professionnalisme », a déclaré Victor Gevers, directeur de GDI.foundation.
En outre, il a demandé aux auteurs de logiciels malveillants de le contacter afin d'essayer de planifier certaines mesures pour corriger la situation actuelle et de développer des moyens pour éliminer les gadgets IoT dangereux d'être attaqués tout en résolvant leurs problèmes.