Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Gyilkolja a netes eszközöket a BrickerBot károkozó

2017. május 04. - ITsec

Szerző: Biztonságportál | Utolsó módosítás: 2017.04.10.

https://biztonsagportal.hu/gyilkolja-a-netes-eszkozoket-a-brickerbot-karokozo.html

​A BrickerBot kártékony program teljesen használhatatlanná tud tenni egyes interneteléréssel is rendelkező eszközöket. Nagy lelkesedéssel törli az adatokat.

Az internetképes (IoT) eszközök egyre felkapottabb célpontoknak számítanak a kiberbűnözők berkeiben. Elég, ha csak arra a tavaly sok problémát okozó Mirai botnetre gondolunk, amely fertőzött IoT-eszközökből épült fel. A célja az volt, hogy elosztott szolgáltatásmegtagadási (DDoS) támadásokba vonja be a különféle készülékeket, amelyek aztán közös erővel jelentős szolgáltatásokat bénítottak meg.
 
A nemrégen felfedezett BrickerBot károkozó azonban nem a DDoS-támadások iránt mutat érdeklődést, hanem az úgynevezett PDoS (Permanent Denial-of-Service) felé vette az irányt. Mindez a gyakorlatban annyit jelent, hogy a megfertőzött eszközöket használhatatlanná teszi. Az elmúlt néhány napban már több variánsával is összefutottak a Radware biztonsági kutatói.
 
Az első verzió meglehetősen rövid életű volt, vagyis akkor még volt remény arra, hogy a támadók próbálkozása nem vezet szélesebb körű problémákhoz. De aztán jött a második variáns, amely már igazolta, hogy a BrickerBottal számolni kell, ugyanis valóban komolyabb fennakadásokat képes okozni. Az IoT eszközöket Telneten keresztül, brute force módszerekkel kezdte ostromolni (hasonlóan a Mirai egyes variánsaihoz). Ezek a támadások még jelenleg is zajlanak, és különösen azok a készülékek kiszolgáltatottak, amelyek interneten keresztül telnet segítségével is elérhetők. Amennyiben a BrickerBot sikeresen felkerül egy ilyen, nem megfelelően védett eszközre, akkor azon Linux, illetve BusyBox parancsokat futtat le. Ekkor törli a készülékhez tartozó adattárolókat, és különös figyelmet fordít a /dev/mtd, illetve a /dev/mmc tekintetében történő "takarításra".
 
A BrickerBot ma már esetenként a 22-es porton keresztül, SSH-val végrehajtott károkozásokra is képes. A legújabb variánsainak pedig már a BusyBoxra sincs szükségük ahhoz, hogy elvégezzék a pusztítást.
 
Eddig elsősorban a root/root vagy a root/vizxv felhasználónév/jelszó párosokkal próbálkozott a károkozó, amely esetenként a dd, illetve a cat parancsok adta lehetőségeket is kihasználja az eszközök kompromittálásához. Az is előfordult már, hogy az iptables tűzfal és NAT szabályokat törölte, és minden kimenő adatforgalmat blokkolt.
 
A BrickerBot is azt támasztja alá, hogy az internethez csatlakoztatott eszközök védelmére kiemelt figyelmet kell fordítani. Ebbe beletartozik a készülékek rendszeres frissítése (legalábbis, ha a gyártó is partner ebben), az adminisztrációs felületek internet felöli blokkolása vagy szigorú hozzáférésszabályozása, illetve a gyári jelszavak módosítása.