Новый троян с неизвестной целью превращает Linux-устройства в «кирпичи»
«Интернет вещей» атакован двумя новыми троянами, один из которых выводит из строя Linux-устройства, а второй строит из IoT-устройств ботнет.Амнезия по-линуксовски
Сразу два новых трояна атакуют устройства «интернета вещей» с деструктивными последствиями. Одна из этих вредоносных программ - Brickerbot - целенаправленно стремится вывести зараженные устройства из строя. Второй троян менее агрессивен, но, тем не менее, тоже способен на деструктивные действия. Хотя первичное его назначение - создать ботнет.
Ботнет Amnesia сформирован из IoT-устройств, атакованных одноименной вредоносной программой, которая эксплуатирует уязвимость в цифровых видеорекордерах китайской компании TVT Digital. Более 70 разных вендоров продают эти устройства по всему миру.
Год назад исследователь Ротем Кернер (Rotem Kerner) обнаружил в их прошивке уязвимость, позволяющую удаленно запускать произвольный код. В Сети по-прежнему сохраняется огромное количество этих устройств: как отмечают исследователи из Palo Alto Networks, на сегодняшний день в Сети насчитывается около 227 тыс. устройств, уязвимых перед Amnesia. Никаких патчей вендоры так и не выпустили.
Сам по себе этот троян представляет собой усовершенствованный вариант более ранней вредоносной программы под Linux Tsunami. Ключевое отличие - «нетерпимость» к виртуальным машинам. Если Amnesia обнаруживает свой запуск в виртуальной среде - VirtualBox, VMWare или QEMU, она самоудаляется, заодно пытаясь уничтожить несколько директорий, включая корневой каталог операционной системы.
«Мы считаем, что автор Amnesia пытался таким образом нейтрализовать «песочницы» под Linux, используемые для анализа вредоносного ПО, и помешать исследователям, - об этом свидетельствует вписанное в код слово fxxkwhitehats, не имеющее никакого функционального значения», - говорится в публикации Palo Alto.
«Нефункциональное слово» - это слабо завуалированное ругательство в адрес экспертов по безопасности «белых шляп».
Эксперты указывают, что реальные проблемы троян может вызвать при попадании на виртуальные Linux-серверы. Если бэкапов нет, то весь виртуальный хост может быть уничтожен.
В настоящее время, как утверждают эксперты, ботнет неактивен, но может «проснуться» в любой момент. Ввиду полного отсутствия патчей, есть только два способа защититься от Amnesia: заблокировать доступ к DVR-устройствам извне и перекрыть возможность исходящего соединения к командному серверу ботнета. Адрес этого сервера «зашит» в код трояна, что несколько облегчает задачу.
Как правильно изготавливать кирпичи
Другой троян Brickerbot относится к редкой ныне разновидности деструктивного вредоносного ПО, единственное назначение которого - выводить из строя атакуемые устройства.
Как отмечают эксперты фирмы Radware, BrickerBot существует в двух вариантах: первый ищет устройства, использующие два конкретных типа Flash-накопителей, второй - пытается вывести из строя устройства с другими типами запоминающих устройств.
Под угрозой IoT-устройства на базе Linux.
Обе разновидности трояна не пытаются эксплуатировать никаких уязвимостей, кроме слабых комбинаций логинов-паролей: BrickerBot производит брутфорс-атаку, перебирая множество возможных вариантов. В случае успеха, BrickerBot выполняет серию операций, которые выводят из строя накопитель данных, отключают устройство от интернета и удаляет все файлы на нем.
Кто и зачем это делает, остается загадкой.
Как отмечают эксперты Radware, атаки со стороны BrickerBot 1 и 2 начались примерно в одно и то же время 20 марта 2017 г. Атаки со стороны первого варианта трояна с тех пор прекратились, а вот BrikerBot 2 по-прежнему активен.
Защитить IoT-устройство от BrickerBot можно посредством отключения Telnet-доступа и установкой не поддающихся простому перебору паролей. Сохранять заводские пароли не стоит.
«Вредоносное ПО, которое выводит из строя оборудование, - сегодня достаточно редкое явление, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Киберпреступнники в массе своей давно переключились с вандализма на зарабатывание денег. В данном случае мотивы злоумышленников выглядят очень специфично. Либо это начало какой-то многоходовой целевой атаки, либо действительно «хулиганство» в отношении пользователей, использующих заводские дефолтные пароли».
IoT-устройства с нарастающей интенсивностью притягивают интерес киберзлоумышленников, поскольку защищенность «интернета вещей» находится на довольно низком уровне, и вдобавок сами пользователи демонстрируют удручающую «беззаботность» в вопросах защиты своих устройств.