Nowe złośliwe oprogramowanie, nazwane Silex, atakuje urządzenia Internet of Things (IoT). Informacje o poczynaniach malware’u zawdzięczamy badaczowi Akamai, Larry’emu Cashdollar:„Silex atakuje prawie każdy uniksopodobny system operacyjny z domyślnymi danymi logowania. Nie ma znaczenia, czy jest to DVR oparty na ARM, czy system x64 z Redhat Enterprise. Jeśli login to root: hasło Silex może zniszczyć system” – ostrzegł Cashdollar w jednej z serii tweetów.

Silex wymazał oprogramowanie na ponad 2000 urządzeń w ciągu pierwszych kilku godzin od jego odkrycia. Prawdopodobnie obecnie jest to duża wyższa liczba, ponieważ nie zanosi się na to, aby ataki ustały. Wręcz przeciwnie.

twitter @_larry0/ Larry W.Cashdollar

W jaki sposób działa Silex?

Silex działa niszcząc pamięć urządzenia IoT, usuwając reguły zapory, usuwając konfigurację sieci, a następnie zatrzymując urządzenie. Jest tak destrukcyjny, jak to możliwe, bez fizycznego uszkodzenia obwodów urządzenia IoT. Dedykowany jest do dowolnego systemu uniksowego z domyślnymi danymi logowania. Używa znanych domyślnych danych logowania do urządzeń IoT, aby zalogować się i „zabić” system. Silex próbuje również niszczyć tabele partycji, wymuszając zmianę adresowania danych na dysku twardym. Konkretnie ustawia cylindry / głowice / sektory na wartość 1:

„W pliku binarnym widać wywołanie fdisk -l, który wyświetla listę wszystkich partycji dysku. Następnie [Silex] zapisuje losowe dane z / dev / random do dowolnych wykrytych partycji. W dalszym kroku usuwa konfiguracje sieciowe. Uruchamia także rm -rf /, którego zadaniem jest usunięcie wszystkiego, co przeoczył. Silex opróżnia również wszystkie wpisy iptables, dodając jeden, który odrzuca wszystkie połączenia. Następnie zatrzymuje lub ponownie uruchamia urządzenie” .

– w taki sposób Cashdollar opisuje działanie Silex

Bez fizycznego uszkadzania urządzeń IoT malware Silex może wymazać firmware na urządzeniach, aby uniemożliwić ich działanie. Chociaż zainfekowane urządzenia można odzyskać, ręcznie instalując ponownie firmware, dla większości właścicieli urządzeń będzie to zbyt skomplikowane zadanie. Najprawdopodobniej większość z nich wyrzuci problematyczne urządzenia, myśląc, że nastąpiła zwykła awaria sprzętu. Nie każda ofiara będzie świadoma, że jest to efekt złośliwego oprogramowania.

Kto za tym stoi?

Chociaż źródłowy adres IP został wyśledzony w Iranie, Silex został opracowany przez… 14-letniego hakera z Europy, który nazywa siebie „Light Leafon”. Ankit Anubhav, naukowiec z NewSky Security, skontaktował się z nastolatkiem, aby dowiedzieć się, co stoi za jego motywem. Warto odnotować, że nie była to pierwsza próba kontaktu. Anubhav już wcześniej kontaktował się z Leafonem około miesiąc temu, kiedy ten wydał HITO, prekursora Silexa, który również był ukierunkowany na urządzenia IoT.

Silex to nie pierwsze podejście młodego twórcy do szkodliwego oprogramowania

Odpowiedzialny za całe zamieszanie powiedział, że przygodę z malware rozpoczął jako żart, ale teraz stało się to dla niego projektem pełnoetatowym. Obecnie, Silex jest wyposażony w funkcję przechwytywania Telnet (protokołu tego używa się do nawiązywania sesji zdalnych). Leafon planuje uczynić Silex jeszcze bardziej destrukcyjnym, dodając możliwość logowania do urządzeń za pośrednictwem SSH.

Haker planuje również rozszerzyć szkodliwe oprogramowanie o luki w zabezpieczeniach, które mogą przenikać do docelowych urządzeń i przejmować je, podobnie jak większość botnetów IoT działających obecnie. „Zostanie przerobiony tak, aby miał oryginalną funkcjonalność BrickerBot”, powiedział Light. Szkodliwe oprogramowanie BrickerBot przetoczyło się przez Internet w 2017 r., niszcząc tymczasowo lub na stałe ponad dziesięć milionów urządzeń. BrickerBot pozostawał aktywny między kwietniem a grudniem 2017 r. Według jego autora – Janit0ra – został rozpowszechniony jako forma protestu przeciwko inteligentnym urządzeniom, które w 2017 r. zostały zainfekowane złośliwym oprogramowaniem Mirai DDoS.

Najgorsze przed nami?

Silex stanowi “punktowe” zagrożenie. Pozbawiając urządzenia możliwości pracy i rozłączając je z siecią, eliminuje możliwość przekazywania dalej szkodliwego oprogramowania. To jeden z “korzystnych” skutków ubocznych. Zwłaszcza, jeśli mowa o urządzeniach otwarcie wystawionych do publicznego Internetu. To niestety wciąż problem wielu użytkowników zarówno prywatnych jak i korporacyjnych. Warto pamiętać, że istnieją scenariusze “gorsze” niż obecna wersja Silex czyli przejęcie urządzeń i podłączenie ich do sieci botnet.

Nie wiemy jakie dokładnie zamiary ma sprytny nastolatek, poza tym, że chce udoskonalać swój produkt. W dobie powszechnych informacji o podatnościach warto zweryfikować czy nasze urządzenia nie posiadają tylnej furtki, otwartej dla hakerów. Nie wybiegając w zbyt zaawansowane systemy i rozwiązania – można zacząć od podstaw, takich jak kamera internetowa. Problem z prawidłowym zabezpieczeniem obrazu, tak aby nie był dostępny publicznie, okazuje się przerastać wiele osób. Zanim więc stworzymy sobie IoT z prawdziwego zdarzenia, warto te elementarne luki “załatać”.

https://www.zdnet.com/article/new-silex-malware-is-bricking-iot-devices-has-scary-plans/

https://www.computing.co.uk/ctg/news/3077942/silex-malware-iot-devices

https://hackercombat.com/a-new-malware-called-silex-targets-iot-devices/

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *