Szerző: Hlács Ferenc

2017. április 07. 12:28:00

IoT-gyilkos malware párost talált a Radware

Tönkreteszi a gyenge védelemmel rendelkező IoT eszközöket a Radware szakértői által felfedezett kártevőduó. A BrickerBot 1 és 2 malware-ek célja látszólag csak a pusztítás.

Újabb, IoT eszközökre vadászó kártevő ütötte fel a fejét a vadonban, a rosszindulatú szoftver, jobban mondva szoftverpáros azonban ezúttal nem felhasználói adatokra vadászik vagy épp komoly online csapásmérésre képes botnetbe szervezi az útjába kerülő eszközöket - helyette egyszerűen tönkreteszi azokat.

A BrickerBot 1 és BrickerBot 2 néven emlegetett duó az online kapcsolattal rendelkező eszközöket kutatja fel, majd azok bekapcsolt telnet protokollal rendelkező példányain a gyári alapértelmezett bejelentkezési adatokkal próbál adminisztrátori hozzáférést szerezni. Ha ez sikerül, a kártevők törlik az adott készüléken tárolt adatokat, majd tönkreteszik annak tárhelyét és internetkapcsolatát - lényegében használhatatlanná téve az eszközt. A pusztító malware-eket a Radware biztonsági cég fedezte fel, a szakértők a Data Center World Global 2017 konferencián beszéltek azok vizsgálata során szerzett eredményeikről.

A kutatók több csalieszközt állítottak szolgálatba, amelyekre a kártevők könnyen lecsaphattak - és le is csaptak, az Ars Technica információi szerint a négynapos tesztidőszak alatt nem kevesebb mint 2250 PDoS (Permanent Denial-of-Service, azaz végleges szolgáltatásmegtagadás) támadás érte a szakértők készülékeit. A támadás a cég szerint nem egy jól elkülöníthető forrásból érkezett, abban a világ számos pontján működő node-ok is részt vettek. A kutatók szerint a támadást végrehajtó, fertőzött készülékek a Ubiquiti Networks AP és bridge eszközei voltak.

A támadások forrásainak földrajzi eloszlása

Miért érdemes belevágnod a Machine Learning képzésünkbe? (x) Október 15-én Machine Learning képzést indít a HWSW, íme néhány jó érv a kurzus mellett.

A két malware közül a BrickerBot 1 "ártatlanabb" az ugyanis kifejezetten a BusyBoxot futtató eszközöket vette célba, amelyek a Dropbear SSH szerver egy korábbi verzióját használták. A rosszindulatú szoftver a Memory Technology Device, illetve a MultiMediaCard flash tárhelyeket vette ostrom alá, ezeket használja a legtöbb IoT kütyü - például a RaspberryPi is.

A BrickerBot 2 már nem ilyen válogatós, a malware tárolók széles skáláját támadja és a BusyBox vagy Dropbear SSH jelenléte sem követelmény a célpontok kiválasztásakor. A sikeres offenzívához persze esetében is szükség van egy alapértelmezett jelszóval védett telnet szolgáltatásra. A BrickerBot 2 egy sérülékeny eszközre jutva az első verziónál jóval agresszívabb pusztításba kezd, nem csak tönkreteszi a tárhelyet, de a TCP időbélyegeket is kikapcsolja, egyre korlátozza a kernel szálak maximális számát, illetve az alapértelmezett internet gateway-t is eltávolítja.

A folyamat tehát gyakorlatilag teljesen tönkreteszi az adott eszközt, olyan szinten, hogy azt legfeljebb csak hardveres beavatkozással, akár egyes komponensek cseréjével lenne javítható. Ez a sérülékeny IoT eszközök esetében jellemzően költségesebb, mint akár egy új készülék vásárlása.

Hogy mi lehetett a kártevők fejlesztőinek célja egyelőre nem világos. A BrickerBot 1 esetében felmerült, hogy azzal a támadók a rivális botneteknek otthont adó eszközöket akarták likvidálni, az elképesztően agresszív második verziónál ugyanakkor a cél látszólag egyszerűen csak a pusztítás. Azt nem tudni, hogy a rosszindulatú szoftvereknek eddig hány eszköz esett áldozatul, az mindenesetre szerencse, hogy mindkét verzió csak a szinte zéró védelemmel rendelkező IoT eszközökre jelent veszélyt.

a címlapról