Malware pro IoT začíná vykazovat destruktivní chování

Hackeři začali přidávat rutiny pro mazání dat k malwaru, který je určený k infikování připojených zařízení pro internet věcí (IoT). Takové chování vykazovaly například dva nedávno pozorované útoky, z nichž každý měl ale pravděpodobně jiný účel.

Malware pro IoT začíná vykazovat destruktivní chování


Experti z Palo Alto Networks objevili nový malwarový program zvaný Amnesia, který infikuje digitální videorekordéry prostřednictvím rok staré zranitelnosti. Amnesia je variací staršího IoT botnetového klienta zvaného Tsunami, zajímavé ale je, že se pokouší detekovat, zda běží uvnitř virtualizovaného prostředí.

Malware provádí kontrolu, aby zjistil, zda linuxové prostředí, ve kterém běží, není ve skutečnosti virtuálním strojem běžícím na VirtualBoxu, VMware nebo QEMU. Taková prostředí používají bezpečnostní experti pro stavbu analyzačních sandboxů nebo tzv. „hrnců na med“, tedy honeypotů.

Detekce virtuálních strojů existuje v malwarových programech pro Windows už pár let, tentokrát je to ale poprvé, co byla tato funkce pozorována v malwaru postaveném pro připojená zařízení postavená na Linuxu. Jestliže Amnesia detekuje přítomnost virtuálního stroje, pokusí se o vymazání kritických adresářů ze souborového systému s využitím linuxového příkazu „rm -rf“ za účelem zničení veškerých případných důkazů o své přítomnosti.

Experti společnosti Radware mezitím objevili odlišný malwarový útok, zaměřený na IoT zařízení, který pojmenovali BrickerBot. Tento útok je spouštěn z napadených routerů a bezdrátových přístupových bodů proti jiným připojeným zařízením na Linuxu.

Tento malware se pokouší o ověření běžnými kombinacemi uživatelských jmen a hesel na zařízeních, na nichž běží služba Telnet, a jsou připojená na internet. Pokud je BrickerBot úspěšný, spustí sérii destruktivních příkazů určených k přepsání dat z připojených diskových oddílů zařízení. Kromě toho se pokouší o zrušení internetového připojení a „znehybnění“ zařízení.

Zatímco některá zařízení tento útok mohou přežít, protože používají jen oddíly pro čtení, mnohé nikoliv a budou tak potřebovat reflash firmwaru. Navíc budou jakékoliv specifické konfigurace nejspíše ztraceny, a – v případě routerů s USB porty nebo připojenými síťovými úložišti – mohou být smazána taktéž data z těchto externích pevných disků.

Kromě toho není jedna z útočných variací BrickerBotu dokonce ani omezena na připojená nebo IoT zařízení a bude fungovat na jakémkoliv systému postaveném na Linuxu, který je přístupný přes Telnet, jestliže má slabé nebo výchozí přihlašovací údaje.

Zatím není jasné, jaký mají útoky prostřednictvím BrickerBotu cíl. Tvůrcem malwaru může být někdo, kdo chce deaktivovat zranitelná zařízení na internetu, aby nemohla být infikována nebo zneužita jinými hackery.

Některé z největších DDoS útoků pozorovaných v následujícím roce měly původ v botnetech vybudovaných z napadených IoT zařízení, takže záměrem by mohlo být donutit uživatele k podniknutí nějaké akce a opravení nebo nahrazení svých zranitelných zařízení.

Většina uživatelů ani netuší, zda jsou jejich routery, IP kamery nebo síťová úložiště (NAS) infikovány malwarem a využívány při DDoS útocích, protože dopad na jejich výkon může být neznatelný. Nicméně budou ihned vědět, že jsou zasaženi BrickerBotem, neboť jejich zařízení přestanou fungovat a mnoho z nich bude pravděpodobně k opravě vyžadovat manuální zásah.

Zdroj: CIO.com


Úvodní foto: © Andrea Danti - Fotolia.com




Komentáře