Вредонос не объединяет устройства в ботнет, а делает невозможным их использование.
Исследователи компании Radware обнаружили новое вредоносное ПО BrickerBot, предназначенное для устройств «Интернета вещей» (IoT). Атаки с его применением начались 20 марта текущего года и продолжаются по сей день.
Если быть точнее, эксперты обнаружили два образца вредоноса – BrickerBot.1 и BrickerBot.2, атакующие устройства, работающие исключительно на базе Linux BusyBox. Первый этап атаки для обоих одинаковый. Сначала BrickerBot находит доступное через интернет устройство с открытым Telnet-портом и с помощью брутфорса подбирает учетные данные.
Подобно другим образцам вредоносного ПО для IoT-устройств, таким как Mirai, Hajime и LuaBot, BrickerBot использует список известных заводских паролей и логинов. Если владелец атакуемого устройства не сменил установленные по умолчанию учетные данные, вредонос авторизуется и выполняет ряд Linux-команд. Далее оба варианта BrickerBot уже действуют по-разному. Каждый из них выполняет свой набор команд, однако цель их одинаковая – заблокировать работу IoT-устройства.
Эксперты называют подобную атаку PDoS-атакой (Permanent Denial of Service – постоянный отказ в обслуживании) или «phlashing». С помощью только одного ханипота всего за четыре дня исследователи Radware зафиксировали 1 895 попыток атак.
По словам экспертов, для распространения каждого варианта вредоноса используется своя отдельная инфраструктура. Атаки с применением BrickerBot.1 осуществляются с IP-адресов по всему миру и связаны с сетевыми устройствами производства американской компании Ubiquiti (точками доступа и мостами с устаревшими версиями SSH-сервера Dropbear).
Вариант BrickerBot.2 является более сложным и выполняет больше команд. В ходе атак с его применением злоумышленники используют выходные узлы Tor, поэтому отследить их источник практически невозможно. В отличие от первой версии, вторая применялась только в 333 атаках.
BrickerBot существенно отличается от другого вредоносного ПО для IoT-устройств, поскольку не объединяет взломанные системы в ботнеты для перенаправления вредоносного трафика или осуществления DDoS-атак. Польза от способности превращать устройство в бесполезный кирпич пока неясна. Она может пригодиться, если злоумышленники захотят вывести из строя незащищенные IoT-устройства. При этом они могут преследовать благие цели, например, привлечь внимание к проблемам безопасности «Интернета вещей».
В Матрице безопасности выбор очевиден