Qual é o "tijolo" no qual os aparelhos às vezes se transformam, muitos geeks sabem em primeira mão. Estamos falando de dispositivos que funcionam bem e de repente simplesmente não ligam e não mostram sinais de vida. Um resultado tão deplorável pode ser, por exemplo, firmware malsucedido do dispositivo, problemas com o software do gadget ou malware. Os especialistas em segurança da informação da Radware
descobriram recentemente um malware que transforma dispositivos inteligentes vulneráveis em tijolos. Os pesquisadores dizem que atacar gadgets é um programa malicioso que começou em 20 de março deste ano.
É sobre o BrickerBot, um programa malicioso que existe em duas encarnações ao mesmo tempo. O primeiro é o BricketBot.1, o segundo, respectivamente, o BricketBot2. Ambas as versões de software atacam apenas os sistemas executados no Linux BusyBox. Em apenas quatro dias do mês passado, os funcionários da Radware
registraram 2.250 ataques de PDoS (Negação de Serviço Permanente, “Negação de Serviço Permanente”) contra um problema especialmente projetado que artisticamente se apresentava como um dispositivo de IoT.
Como se viu, os ataques vieram de nós separados localizados em todo o mundo. O BrickerBot.1 ficou em silêncio após um certo número de ataques, mas o BrickerBot.2 acabou sendo mais ativo. Ele tentou atacar os dispositivos de "chamariz" aproximadamente a cada duas horas por vários dias. O malware ataca sistemas IoT mal protegidos via Telnet e realmente os transforma em um "bloco". O BrickerBot seleciona os gadgets que podem ser acessados pelos links de login / senha padrão. Ainda não está claro exatamente como o ataque ocorre e por que o malware está tentando desativar vários gadgets.
Na primeira fase do ataque, o BrickerBot age da mesma maneira que outros malwares da IoT, incluindo o Mirai. Há uma força bruta no Telnet, com a seleção de acesso às funções de gerenciamento do dispositivo comprometido. De acordo com especialistas que descobriram o BrickerBot, seu código contém as combinações de login / senha mais populares para o painel de administração de uma ampla variedade de modelos de dispositivos.
Se o ataque for bem-sucedido e o malware obtiver acesso ao sistema, serão
iniciadas as tentativas de desativar o gadget atacado. Para fazer isso, o malware usa vários métodos diferentes. Duas versões do BrickerBot têm métodos diferentes. Mas eles têm um objetivo - transformar o gadget em um "tijolo".
Entre outros métodos de trabalho com gadgets vulneráveis, por exemplo, a substituição de dados nas unidades de dispositivo é usada. Além disso, net.ipv4.tcp_timestamps = 0 é definido, após o qual o gadget IoT não pode se conectar à Internet. Outro malware está tentando definir o valor kernel.threads-max = 1 em vez do padrão 10.000, o que leva ao fato de que os gadgets baseados em ARM simplesmente falham devido à interrupção das operações do kernel.
Especialistas apontam que um gadget comprometido para de funcionar alguns segundos após a infecção. Curiosamente, o BrickerBot.1 ataca dispositivos IoT de diferentes endereços IP em todo o mundo, como já mencionado. Mas a segunda versão do botnet funciona através dos elementos da rede Tor, portanto, rastrear a operação deste software é muito difícil, se possível.
Uma diferença incomum entre esse malware e outros é que ele não tenta conectar os dispositivos atacados à rede de bots. De fato, estragar os gadgets de IoT é o único alvo visível do BrickerBot. Especialistas sugerem que os criadores do bot podem ser hackers insatisfeitos com a falta de atenção ao problema da segurança cibernética, que decidiram ensinar uma lição aos proprietários descuidados.
Talvez esse malware realmente atraia mais atenção para esse problema do que as palavras comuns sobre a necessidade de ter cuidado e alterar a conta depois de comprar um dispositivo de rede na loja. No entanto, esse método de "aprender o básico sobre segurança da informação" pode ser simplesmente perigoso. Por exemplo, esse software pode desativar muitas câmeras de vigilância que servem a algum bom propósito. Como resultado, as mesmas câmeras de vigilância que monitoram a ordem nas ruas das cidades em um ponto podem parar de funcionar.
“Tente imaginar que a câmera de vigilância na embaixada desligou. Como vale a pena considerar - como um ato de agressão contra um Estado? Tais ataques são muito fáceis de realizar, acredito que este é apenas o começo. Eu não gostaria de dizer que isso é ruim, mas acho que existem maneiras menos destrutivas de alcançar o mesmo objetivo. Por exemplo, você pode começar simplesmente corrigindo vulnerabilidades do dispositivo. Mas isso requer mais profissionalismo ”, disse Victor Gevers, chefe da Fundação GDI.
Além disso, ele pediu aos autores do malware que o contatassem para tentar planejar algumas medidas para corrigir a situação atual e desenvolver maneiras de impedir que os dispositivos IoT inseguros fossem atacados enquanto solucionava seus problemas.