Подросток превратил более 2 тысяч IoT-устройств в «кирпичи»
Специалист компании Akamai Ларри Кэшдоллар обнаружил вредоносную программу Silex, атакующую IoT-устройства с устрашающей скоростью. За несколько часов наблюдения количество вышедших из строя выросло с 350 до 2 тысяч и перевалило за это число.
Silex начала действовать примерно в середине дня, 25 июня. Принцип ее работы заключается в следующем: если логин и пароль подобраны и вход осуществлен, программа заполняет память устройства случайными данными, уничтожает его хранилище, удаляет правила файрвола, потом сетевую конфигурацию, и финальным штрихом останавливает девайс. После этого спасти устройство можно только полной перепрошивкой, что для большинства рядовых пользователей звучит как «смириться и выбросить», особенно если они примут последствия за программный сбой.
«Он нацелен на любую Unix-подобную систему с учетными данными по умолчанию», - рассказал Кашдоллар ZDNet. – «Захваченный мною двоичный файл предназначен для устройств ARM. Я заметил, что для загрузки доступна версия оболочки Bash, предназначенная для любой архитектуры, работающей на Unix-подобных ОС».
Серверы Linux также под угрозой, особенно если у них будут открыты порты Telnet и используются слабые комбинации логин/пароль.
Кашдоллар заметил, что атаки шли с IP-адреса, ведущего к VPS-серверу novinvps.com, принадлежащему иранскому провайдеру. В настоящий момент он уже заблокирован.
После проведенного исследования специалист компании NewSky Security Акит Анубхав выяснил, что за всем этим стоит 14-летний подросток. Несколько месяцев назад хакер, представившийся ником Light Leafon, уже рассказывал Анубхаву об еще одной своей разработке – IoT-ботнете HITO. Silex же вообще изначально был несерьезным проектом, шутки ради, но постепенно стал основным и получил все внимание, пока HITO оказался заброшен.
Анубхав подтвердил личность хакера, заставив его поместить пользовательское сообщение на сервер управления и контроля Silex (C&C).
Подросток заявил, что планирует дальше развивать вредоносное ПО. В будущем он хочет добавить еще больше разрушительных функций, в частности возможность входа в устройства через SSH, помимо текущей возможности перехвата Telnet. Кроме того, Light также задумал включить в Silex эксплойты, предоставляя вредоносным программам возможность использовать уязвимости для взлома устройств, подобно тому, как сегодня работает большинство бот-сетей IoT.
Атаки все еще продолжаются, и, согласно интервью, они будут усилены в ближайшие дни.
Очевидно, что создателя вдохновил BrickerBot, который был активен в 2017 году и также калечил IoT-устройства, чтобы преподать владельцам урок. Janit0r, который является автором первого «уничтожителя», заявил в свое время об уничтожении более десяти миллионов девайсов. Для него это была акция протеста против владельцев умных устройств, которые в то время постоянно заражались вредоносным ПО Mirai DDoS. По его мнению, лучше уж уничтожить технику, чем сидеть сложа руки и терпеть подобное.
Light же, напротив, не делал никаких заявлений, не публиковал манифесты, в отличие от своего предшественника. Несмотря на подобные действия Анубхав охарактеризовал подростка как «одного из самых выдающихся и талантливых действующих лиц угрозы IoT на данный момент». Оценка способностей – это конечно хорошо, но по сравнению с Janit0r Light, возможно, немного наследил, что может грозить ему крупными неприятностями.
Источник: zdnet.com