Sākumlapa » Apdraudējumi » Ļaunprogrammatūra Silex padara nelietojamas lietu interneta ierīces

Ļaunprogrammatūra Silex padara nelietojamas lietu interneta ierīces

ziņo ZDNet, jauns ļaunprogrammatūras paveids dzēš lietu interneta (IoT) ierīču aparātprogrammatūru. Ļaunprogrammatūra, kas nosaukta par Silex, darbību uzsāka vakar. Uz brīdi, kad pētnieks no Akamai uzsāka pētīt tās kaitīgās darbības, nelietojamas bija padarītas apmēram 350 ierīces, bet šis skaitlis bija ātri palielinājies līdz 2 000 bojātām ierīcēm stundu vēlāk.

 

 

Kā darbojas Silex

Pēc Akamai pētnieka Lerija Kešdolāra (Larry Cashdollar), kurš pirmais pamanīja ļaunprogrammatūru, izteikumiem, Silex nodzēš IoT ierīces atmiņu, izmaina ugunsmūra iestatījumus, dzēš tīkla konfigurāciju un pēc tam aptur ierīces darbību.

Efekts ir tik postošs, cik vien postošs tas var būt, nenodedzinot mikroshēmas. Lai ierīci atjaunotu, upuriem manuāli jāpārprogrammē aparātprogrammatūra un šāds uzdevums nav pa spēkam lielākajai daļai īpašnieku. Sagaidāms, ka daļa īpašnieku, visticamāk, izsviedīs savu ierīci, domājot, ka notikusi atteice un nezinot, ka viņi kļuvuši par ļaunprogrammatūras darbības upuriem.

 

 

“Programma izmanto pēc noklusējuma zināmus IoT ierīču piekļuves datus, lai pieteiktos un iznīcinātu sistēmu,” informēja Kešdolārs. “Vīruss to panāk, ierakstot gadījuma datus no /dev/random jebkurā pieslēgtajā datu glabātuvē, kuru tas spēj atrast.”

“Es redzu to binārajā datnē, ka tas izsauc fdisk -l, kas uzskaita visas diska sadaļas,” piebilda Kešdolārs. “Pēc tam tas visās atrastajās diska sadaļās ieraksta gadījuma informāciju no /dev/random.

“Pēc tam vīruss izdzēš tīkla konfigurācijas, […] kā arī [iedarbina] rm -rf /, kas nodzēš visu to, kas vēl atlicis.”

“Tas nodzēš arī iptables ierakstus un pievieno vienu, kas ATVIENO visus pieslēgumus. Pēc tam seko ierīces apturēšana vai pārstartēšana,” stāsta pētnieks.

 

Uzbrukumi no servera Irānā

“Uzbrukuma mērķi ir Unix līdzīgas sistēmas ar pieejas datiem pēc noklusējuma,” turpina Kešdolārs. “Binārā datne, kuru es pārtvēru, mērķēta uz ARM ierīcēm. Es pamanīju arī, ka ir lejupielādējama Bash čaulas versija, kura uzbruks jebkurai sistēmai ar Unix veida OS.”

Tas nozīmē to, ka Silex demolēs arī Linux serverus, ja tiem būs atvērti Telnet porti un izmantoti vāji vai plaši izplatīti vārdi un paroles.

“Šķiet, ka IP adrese, no kuras tika veikts uzbrukums manam urķuslazdam, atrodas uz novinvps.com piederoša VPS servera, kurš tiek darbināts no Irānas,” pastāstīja Kešdolārs par uzbrukumu avotu.

 

Kas stāv aiz Silex ļaunprogrammatūras?

Ar NewSky Security pētnieka Ankita Anubhava (Ankit Anubhav) palīdzību ZDNet izdevās sasniegt Silex ļaunprogrammatūras autoru un uzdot vairākus jautājumus par viņa motivāciju un galveno nākotnes plānu.

Pēc Anubhava vārdiem, par šīs postošās ļaunprogrammartūras radīšanu atbildīgs ir 14 gadus vecs pusaudzis, kurš tiešsaistē parādās ar vārdu Light Leafon. Anubhavs pārliecinājās par hakera identitāti, liekot viņam ierakstīt noteiktu frāzi Silex vadības un kontroles (C&C) serverī, apliecinot to, ka mēs patiešām esam sazinājušies ar faktisko Silex operatoru.

Pirms šiem notikumiem Light jau bija radījis HITO IoT robottīklu un tika intervēts pirms mēneša. Light pastāstīja, ka projekts sācies kā joks, bet tagad izaudzis par pilnvērtīgu projektu un atdalījies no vecā HITO botu tīkla, lai pievērstos Silex. Pusaudzis informēja, ka viņš plāno pilnveidot ļaunprogrammatūru un pievienot tai pat vēl postošākas funkcijas.

Tiek plānots pievienot spēju pieteikties ierīcēs caur SSH papildus pašreizējai Telnet uzlaušanas funkcijai. Turpmāk Light plāno iestrādāt Silex arī ekspluatējumus, kas dotu ļaunprogrammatūrai spēju izmantot ievainojamības, lai ielauztos ierīcēs – līdzīgi, kā to mūsdienās dara lielākā daļa IoT botu tīklu.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 3 = 7

Uz augšu