Новое вредоносное ПО BrickerBot превращает IoT-устройство в «кирпич»
Эксперты из фирмы Radware нашли новейшее вредоносное программное обеспечение BrickerBot, которое разработано для девайсов «Интернета вещей». Кибератаки с его использованием стартовали двадцатого числа прошлого месяца 2017 года и совершаются до сих пор.
В целом было обнаружено две версии вредного софта, которые атакуют девайсы на операционной системе BusyBox. Первая атакующая стадия у них одна. Изначально софт ищет доступный в интернете девайс с открытым Telnet, а зачем с помощью атаки грубой силы подбирает логин и пароль.
Аналогично иным экземплярам вредоносного программного обеспечения для IoT девайсов, таких как Mirai и LuaBot, данный софт пользуется списком дефолтных паролей. В случае если не были изменены установленные на заводе данные, то софт производит авторизацию и вводит несколько Unix команд. Затем стадии атаки у двух версий отличаются. У них есть свой список команд, однако главная их цель это блокировка работоспособности устройства.
Исследователи обозвали данный тип атаки PDoS, и при эксплуатации одного ханипота за четверо суток экспертами было зафиксировано около двух тысяч атак.
Как сообщают профессионалы, для того, чтобы распространиться, обе версии софта используют разную методику. Атаки первой версии происходят с IP по всему земному шару и привязаны к сетевым девайсам компании из Соединенных Штатов Америки Ubiquiti, у которых установлена старая версия SSH-демона Dropbear.
Вторая версия BrickerBot более сложна и исполняет большой список команд. Во время процесса атаки с его эксплуатацией киберпреступники используют exit-ноды Tor, что является причиной невозможности определения источника атаки. Вторая версия использовалась всего лишь только триста раз из двух тысяч.
BrickerBot также отличен от иного вредоносного программного обеспечения для IoT девайсов тем, что не совершает объединение устройств в бот-сеть для того, чтобы редиректить вредный трафик и заниматься DDoS атаками. Пока что непонятно, зачем используется методика «убийства» девайса. Вполне возможно, это полезно для киберпреступников тем, что при желании они могут это осуществить, показывая тем самым несовершенство протокола «Интернета вещей».