Mellékleteink: HUP | Gamekapocs
Keres

IoT-gyilkos malware párost talált a Radware

Hlács Ferenc, 2017. április 07. 12:28
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Tönkreteszi a gyenge védelemmel rendelkező IoT eszközöket a Radware szakértői által felfedezett kártevőduó. A BrickerBot 1 és 2 malware-ek célja látszólag csak a pusztítás.

hirdetés

Újabb, IoT eszközökre vadászó kártevő ütötte fel a fejét a vadonban, a rosszindulatú szoftver, jobban mondva szoftverpáros azonban ezúttal nem felhasználói adatokra vadászik vagy épp komoly online csapásmérésre képes botnetbe szervezi az útjába kerülő eszközöket - helyette egyszerűen tönkreteszi azokat.

A BrickerBot 1 és BrickerBot 2 néven emlegetett duó az online kapcsolattal rendelkező eszközöket kutatja fel, majd azok bekapcsolt telnet protokollal rendelkező példányain a gyári alapértelmezett bejelentkezési adatokkal próbál adminisztrátori hozzáférést szerezni. Ha ez sikerül, a kártevők törlik az adott készüléken tárolt adatokat, majd tönkreteszik annak tárhelyét és internetkapcsolatát - lényegében használhatatlanná téve az eszközt. A pusztító malware-eket a Radware biztonsági cég fedezte fel, a szakértők a Data Center World Global 2017 konferencián beszéltek azok vizsgálata során szerzett eredményeikről.

A kutatók több csalieszközt állítottak szolgálatba, amelyekre a kártevők könnyen lecsaphattak - és le is csaptak, az Ars Technica információi szerint a négynapos tesztidőszak alatt nem kevesebb mint 2250 PDoS (Permanent Denial-of-Service, azaz végleges szolgáltatásmegtagadás) támadás érte a szakértők készülékeit. A támadás a cég szerint nem egy jól elkülöníthető forrásból érkezett, abban a világ számos pontján működő node-ok is részt vettek. A kutatók szerint a támadást végrehajtó, fertőzött készülékek a Ubiquiti Networks AP és bridge eszközei voltak.

A támadások forrásainak földrajzi eloszlása

A két malware közül a BrickerBot 1 "ártatlanabb" az ugyanis kifejezetten a BusyBoxot futtató eszközöket vette célba, amelyek a Dropbear SSH szerver egy korábbi verzióját használták. A rosszindulatú szoftver a Memory Technology Device, illetve a MultiMediaCard flash tárhelyeket vette ostrom alá, ezeket használja a legtöbb IoT kütyü - például a RaspberryPi is.

A BrickerBot 2 már nem ilyen válogatós, a malware tárolók széles skáláját támadja és a BusyBox vagy Dropbear SSH jelenléte sem követelmény a célpontok kiválasztásakor. A sikeres offenzívához persze esetében is szükség van egy alapértelmezett jelszóval védett telnet szolgáltatásra. A BrickerBot 2 egy sérülékeny eszközre jutva az első verziónál jóval agresszívabb pusztításba kezd, nem csak tönkreteszi a tárhelyet, de a TCP időbélyegeket is kikapcsolja, egyre korlátozza a kernel szálak maximális számát, illetve az alapértelmezett internet gateway-t is eltávolítja.

A folyamat tehát gyakorlatilag teljesen tönkreteszi az adott eszközt, olyan szinten, hogy azt legfeljebb csak hardveres beavatkozással, akár egyes komponensek cseréjével lenne javítható. Ez a sérülékeny IoT eszközök esetében jellemzően költségesebb, mint akár egy új készülék vásárlása.

Hogy mi lehetett a kártevők fejlesztőinek célja egyelőre nem világos. A BrickerBot 1 esetében felmerült, hogy azzal a támadók a rivális botneteknek otthont adó eszközöket akarták likvidálni, az elképesztően agresszív második verziónál ugyanakkor a cél látszólag egyszerűen csak a pusztítás. Azt nem tudni, hogy a rosszindulatú szoftvereknek eddig hány eszköz esett áldozatul, az mindenesetre szerencse, hogy mindkét verzió csak a szinte zéró védelemmel rendelkező IoT eszközökre jelent veszélyt.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Június 4-én alapoktól induló, 30 órás online Java back-end fejlesztői, június 5-én pedig Microsoft Azure képzést indít a HWSW!