Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

28 апреля 2017 г.

IoT-устройства представляют угрозу для SCADA-систем

С развитием концепции «Интернета вещей» (Internet of Things, IoT) и повсеместным внедрением IoT-решений, возросло число подключенных к интернету промышленных систем, что создает риски для операционных технологий (OT), вовлеченных в управление подобными системами. К такому выводу пришли участники конференции по кибербезопасности, посвященной проблемам взаимодействия систем автоматического контроля и сбора информации (Supervisory Control And Data Acquisition, SCADA) и промышленного «Интернета вещей» (Industrial Internet of Things, IIoT).

Поскольку OT - технология, разработанная до эры интернета и ориентированная на конкретные задачи, ее безопасность не всегда является приоритетом, отметил старший аналитик по кибербезопасности Intel Security Халед Браун (Khaled Brown).

Участники конференции обсудили ряд мер по обеспечению безопасности OT-систем. В их числе своевременное применение обновлений безопасности, внедрение одобренных OT-вендором патчей сторонних производителей, обеспечение физической безопасности систем (проверка операторов оборудования и реализация системы видеонаблюдения, не связанной с OT-системой), создание и поддержка постоянно обновляемых карт и списков с информацией о расположении работающего оборудования, соблюдение стандартов (понимание того, насколько патч соответствует установленным требованиям позволит операторам оценить целесообразность его установки и сформировать план оценки рисков).


Источник: Новости - SecurityLab.ru

Хакеры до сих эксплуатируют связанную с Stuxnet уязвимость

Как сообщают эксперты «Лаборатории Касперского», киберпреступники до сих пор эксплуатируют уязвимость, используемую еще в атаках с применением червя Stuxnet. Речь идет об уязвимости CVE-2010-2568 в Windows, позволяющей без ведома пользователя удаленно выполнить код на атакуемой системе. Microsoft выпустила исправление еще в 2010 году, что не помешало эксплоиту для этой уязвимости стать наиболее популярным у хакеров.

В 2015 и 2016 годах данная уязвимость использовалась в атаках, с которыми столкнулись четверть клиентов ЛК. Проблема затрагивает только версии Windows XP, Windows Server 2008 и Windows 7, однако злоумышленникам по-прежнему удается находить уязвимые системы. С ее помощью хакеры заражают компьютеры самовоспроизводящимся вредоносным ПО, способным сохранять свое присутствие на системе.

По словам экспертов, злоумышленники также по-прежнему эксплуатируют давно известные и исправленные уязвимости в Microsoft Office, Android и Java. Как пояснили в ЛК, с выходом патча жизнь эксплоита не заканчивается.

На прошлой неделе киберпреступная группировка The Shadow Brokers опубликовала инструменты для взлома Windows, предположительно используемые спецслужбами США. Microsoft уже исправила эксплуатируемые ими уязвимости, однако более старые версии Windows остаются под угрозой, поскольку больше не получают обновления безопасности.


Источник: Новости - SecurityLab.ru

Число зараженных Hajime IoT-устройств достигло 300 тысяч

Эксперты в области кибербезопасности обеспокоены стремительным разрастанием ботнета Hajime. По оценкам специалистов, число инфицированных червем устройств из сферы «Интернета вещей» (Internet of Things, IoT) уже достигло 300 тысяч. В то время как Hajime пока никак не продемонстрировал вредоносное поведение, существует вероятность, что злоумышленники могут перехватить контроль над ботнетом у его нынешнего оператора.

О Hajime стало известно в октябре минувшего года. Тогда внимание общественности было приковано к атакам Mirai и его появление прошло практически незамеченным. На прошлой неделе специалисты Symantec сообщили, что Hajime уже инфицировал по меньшей мере «десятки тысяч» IoT-устройств в основном в Бразилии, Иране, Таиланде, России и Турции, но теперь речь идет о сотнях тысяч гаджетов.

По аналогии с Mirai Hajime сканирует те же IoT-устройства на предмет незащищенных Telnet портов, взламывает их при помощи практически идентичного набора логинов\паролей и выполняет почти те же команды. По сравнению с Mirai, червь Hajime более совершенный и скрытный. Он обладает модульной структурой, что позволяет разработчику добавлять новые возможности «на лету». Предположительно, автор Hajime использует вредонос с целью обеспечения безопасности IoT-устройств, но не все эксперты согласны с данной точкой зрения.

Аналитик Radware Паскаль Гриненс (Pascal Geenens) сомневается в «благородстве» разработчика Hajime.

«Просто white hat!... Тогда почему Hajime остается на устройстве и продолжает расширять свою сеть? Он очень агрессивно ищет уязвимые Telnet порты и WSDAPI устройства. Он закрывает порты, используемые для атак Mirai, но оставляет порты открытыми для себя... Сейчас Hajime остается под контролем своего оригинального автора (я надеюсь) и в основном мы полагаем, что его намерения доброжелательны. И все же, мне интересно, почему этот белый рыцарь продолжает расширять ботнет и удерживать устройства в заложниках?», - написал Гриненс в блоге.

Автор Hajime не первый разработчик, попытавшийся привлечь внимание общественности и производителей к проблеме безопасности «Интернета вещей». Ранее стала известна личность создателя вредоносного ПО BrickerBot, блокирующего работу IoT-устройств.


Источник: Новости - SecurityLab.ru

[ZLONOV.ru] Битвы конкурентов: ИнфоВотч vs СёрчИнформ

ZLONOV.ru
Пост Битвы конкурентов: ИнфоВотч vs СёрчИнформ опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

20 апреля 2017 г.

[ZLONOV.ru] Кибербезопасность АСУ ТП. Три эпизода третьего сезона

ZLONOV.ru
Пост Кибербезопасность АСУ ТП. Три эпизода третьего сезона опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

18 апреля 2017 г.

FDA требует от St. Jude большей безопасности устройств

Управление США по надзору в сфере пищевых продуктов и лекарственных средств США (FDA) направило  предупреждение в адрес компании Abbott Laboratories, указывая на недостаточное обеспечение безопасности использования уязвимого устройства Merlin@home.

Регулятор пообещал предпринять меры, в том числе штрафы и судебный запрет на осуществление деятельности, в отношении учреждения, если оно не закроет уязвимости в кардиоустройстве.

Передатчик Merlin@home – радиопередатчик, разработанный компанией St. Jude Medical, которая была поглощена Abbott в январе. Устройство позволяет удаленно отслеживать показания вживленного в тело пациента дефибрилятора.

Уязвимости в устройствах Merlin и других продуктах St. Jude Medical были обнародованы в скандальном отчете, подготовленном исследовательской компанией MedSec Holdings при поддержке хеджевого фонда Muddy Waters. Публикация информации об уязвимостях позволила MedSec сыграть на понижение и нажиться на резком снижении курса акций St. Jude. Тогда Muddy Waters предсказывала, что в результате публикации отчета оборот St. Jude Medical упадет вдвое, а отыгрывание позиций займет до двух лет.

Отчет Muddy Waters/MedSec указал на ряд уязвимостей в устройствах Merlin@home, благодаря которым потенциальных злоумышленник  способен вмешаться в процесс передачи данных между имплантом и передатчиком. Хотя после этого Abbott и St. Jude Medical запатчили некоторые из уязвимостей в Merlin@home, MedSec раскритиковал обновление, назвав его неполным. Также Muddy Waters раскрыли дополнительную информацию о брешах в самих имплантах, которые дают возможность спровоцировать сердечный приступ у пациента или раньше времени истощить батарею устройства.

«Как говорится в письме, компания не отреагировала надлежащим образом на рекомендации экспертов по информационной безопасности, сделанные еще в 2014 году, и сегодня устройства St Jude Medical не соответствуют требованиям FDA, — рассказал глава MedSec Джастин Боун (Justine Bone). —  Уязвимости в имплантах, о которых мы сообщали, так и не были закрыты, и теперь FDA требует от производителя принять меры. Мы призываем Abbott в кратчайшее время разобраться с этими серьезными проблемами».

В своем письме FDA подчеркнуло, что Abbott не провела расследование первопричин проблемы и не предприняла никаких мер, чтобы исключить повторение подобных проблем в будущем.

«Компания не подтвердила факт проведения мероприятий, направленных на исправление недостатков в оборудовании, не оценила эффект этих мероприятий и их влияние на работу устройства, — говорится в письме FDA. – Мы рассмотрели ваш ответ и не нашли его адекватным. Компания предоставила обобщенную информацию о датах проведения некоторых мероприятий, но в вашем ответе нет подтверждений проведения системных мероприятий, направленных на обеспечение безопасности устройств».

FDA в своем письме раскритиковало не только принципы решения проблем кибербезопасности в Abbott Laboratories; регулятор также обратил внимание на проблему возможного преждевременного истощения литий-ионных аккумуляторов в имплантируемых устройствах.

Abbott Laboratories не ответило предметно на запрос комментария от Threatpost, ограничившись официальным заявлением:

«Для компании Abbott здоровье пациентов – наивысший приоритет. Мы всегда ответственно относились к качеству и безопасности продукции, что доказано долгими годами работы. Abbott приобрела компани. St. Jude Medical в январе 2017 года; проверка FDA в отношении учреждения Sylmar, ранее принадлежавшего St. Jude Medical, началась 7 февраля; мы предоставили ответ на 483 запроса регулятора 13 марта, описав предпринимаемые нами меры. Мы серьезно относимся к таким вопросам, поэтому мы внимательно изучим предупреждение FDA и должным образом отреагируем на рекомендации».

9 января St. Jude Medical выкатила патч для устройств Merlin@home, который должен был закрыть все уязвимости, о которых рассказали MedSec и Muddy Waters. Но руководство MedSec и Muddy Waters раскритиковали патч, заявив, что он не решает ряд более серьезных проблем: например, в устройстве содержится бэкдор, который потенциально открывает возможность удаленного управления имплантом. В подкасте от 19 января, Боун подтвердил, что патч решает только проблему MitM-атак, возможных из-за уязвимости коммуникационного протокола между передатчиком и инфраструктурой St. Jude.

«Патч, подготовленный St. Jude Medical, не решает проблему имплантов, — сказал Боун. – К сожалению, некоторые эксперты, далекие от мира кибербезопасности, не вникли в вопрос и решили, что St. Jude Medical решила проблему своих устройств этим патчем, но это абсолютно не так».


Источник: Threatpost | Новости информационной безопасности

В хакерском архиве найдены свидетельства причастности АНБ к созданию Stuxnet

14 апреля нынешнего года хакерская группировка The Shadow Brokers опубликовала массив данных, включающий разнообразные хакерские инструменты, в том числе для взлома ОС Windows, а также документы, свидетельствующие о том, что Агентство национальной безопасности США имело доступ к межбанковской системе обмена сообщениями SWIFT и отслеживало перемещение средств между банками Южной Америки и Среднего Востока.

Кроме прочего, архив также включает эксплоит, использовавшийся в составе знаменитого червя Stuxnet, применявшегося в кибератаках на ядерные объекты в Иране. Stuxnet называют кибероружием, созданным при участи правительства США, а его авторами считается хакерский коллектив Equation Group, предположительно связанный с АНБ.

По словам аналитика Symantec Лайама О’Мерчу (Liam O'Murchu), инструмент для создания MOF-файлов представляет собой «почти такой же скрипт», как тот, что использовался в Stuxnet. Кроме того, в инструменте было замечено ASCII-изображение с текстом «WON THE GOLD MEDAL» («Выиграл золотую медаль») - предположительная отсылка к названию операции «Олимпийские игры», в рамках которой использовался червь Stuxnet.

Фрагмент кода Stuxnet

Фрагмент кода инструмента, опубликованного The Shadow Brokers

Власти США никогда официально не подтверждали информацию о причастности АНБ к разработке Stuxnet. Таким образом, инструмент, обнаруженный в архиве The Shadow Brokers, является, возможно, самым ранним свидетельством участия АНБ в создании червя. С другой стороны, не исключен вариант, что хакеры из The Shadow Brokers просто получили доступ к инструментам Stuxnet и повторно использовали их.


Источник: Новости - SecurityLab.ru

17 апреля 2017 г.

Банк России намерен использовать блокчейн для хранения доверенностей

Защититься от мошенников, снимающих средства с чужих счетов с помощью поддельных документов, финансовым организациям поможет блокчейн. Как сообщает издание «Известия», Центробанк РФ направил Минэкономразвития и Минкомсвязи предложение о создании централизованной online-базы нотариально заверенных доверенностей на основе блокчейна.

В настоящее время у банков есть мало возможностей для проверки подлинности нотариальных доверенностей. Когда клиент приносит такой документ, все, что может сделать сотрудник банка в целях проверки – позвонить нотариусу. Если юрист будет недоступен, сотрудник финорганизации обязан поверить в подлинность доверенности и осуществить операцию. Безусловно, подделка все равно будет обнаружена, однако вопрос поддельных документов все равно остается актуальным.

Центробанк предложил включить в дорожную карту «Цифровая экономика» два способа решения вышеописанной проблемы. По словам директора департамента финансовых технологий, проектов и организации процессов Центробанка Вадима Калухова, можно либо создать распределенную сеть данных на основе блокчейн для проверки доверенностей, либо сформировать централизованную базу нотариально заверенных документов, которую будет вести нотариат.

Как пояснила член правления Московской городской нотариальной палаты Зинаида Ништ, реестр доверенностей в сети уже существует. Тем не менее, такой реестр уязвим для взломов и DDoS-атак на сервер. Блокчейн делает DDoS-атаки бесполезными, поскольку данные хранятся не на сервере, а распределены по всей цепочке блоков.


Источник: Новости - SecurityLab.ru

14 апреля 2017 г.

Раскрыты подробности атаки на систему оповещения о ЧС в Далласе

Как ранее сообщал SecurityLab, на прошлой неделе в ночь с пятницы на субботу в течение полутора часов работали все сирены безопасности Далласа (Техас, США), и инженерам пожарных команд не удавалось их отключить. Изначально инцидент связали с предположительным взломом системы оповещения населения о чрезвычайных ситуациях. Тем не менее, как показало расследование, никакого взлома не было.

Согласно заявлению главы муниципальной администрации Далласа Т. С. Броуднэкса (T.C. Broadnax), злоумышленники не взламывали систему, а использовали радиосигналы для получения контроля над ней. «Не хочу объяснять, как именно это было сделано, чтобы никто не смог повторить. Проблема была связана не с программным обеспечением системы, а с радио», - сообщил Броуднэкс.

Муниципальная администрация не объяснила принцип работы системы оповещения, однако отметила, что она является тональной и управляется с помощью комбинации тональных сигналов. Злоумышленники могли скомпрометировать систему с помощью радиооборудования, способного воспроизвести соответствующие тональные сигналы. Подобные атаки известны как атаки повторного воспроизведения, предполагающие записи и последующее воспроизведение ранее посланных корректных сообщений.

Хакеры, активировавшие сирены в Далласе, вероятно, имели доступ к документации, описывающие необходимые тональные сигналы. Злоумышленники воспроизвели сигналы, а затем раз за разом повторяли их.


Источник: Новости - SecurityLab.ru

Хакеры могут взломать подключенные к сотовой сети духовки AGA

Злоумышленники могут удаленно включать и выключать «умные» духовые шкафы AGA с помощью одного лишь текстового сообщения. Все, что для этого нужно – номер телефона духовки.

Проблема затрагивает модели AGA iTotal Control, оснащенные SIM-картой и аппаратным обеспечением для подключения к сотовой сети. Благодаря подключению к сети сотовой связи духовка способна получать команды в текстовых сообщениях. Пользователь может отправлять их непосредственно со своего телефона, через приложение или через сайт производителя.

Как сообщают специалисты британской компании Pen Test Partners, злоумышленники могут отправлять духовке несанкционированные команды без ведома ее владельца. AGA iTotal Control получают команды не по Wi-Fi, а с помощью модуля связи Tekelek и GSM SIM-карты крупной британской телекоммуникационной компании EE. Для того чтобы иметь возможность удаленно управлять духовым шкафом, пользователям приходится ежемесячно платить сотовому оператору £6 (около 426 руб.).

Поскольку AGA iTotal Control не проверяет, от кого получено сообщение, любой, кому известен номер «симки» духовки, может отправить ей команду. Удаленно включив электрический духовой шкаф без ведома жертвы, злоумышленник может «накрутить» счет за электроэнергию. Выключив духовку в неподходящее время, злоумышленник может испортить ужин.

Подобрать номер SIM-карты также не составляет труда. Если вводить неправильный номер на сайте AGA, будет выдаваться ошибка. Путем простого перебора можно вычислить легитимный номер и отправлять духовке неавторизованные команды. Более того, сайт использует незащищенное подключение по HTTP, и любой желающий может перехватить трафик.


Источник: Новости - SecurityLab.ru

12 апреля 2017 г.

Обнаружен способ «обмана» датчиков отпечатков пальцев

Как известно, отпечатки пальцев у каждого человека являются уникальными и двух одинаковых не существует. Тем не менее, по данным исследователей Нью-Йоркского университета и Университета штата Мичиган, даже частично совпадающие отпечатки пальцев могут обмануть биометрические системы аутентификации. Те есть, смартфоны и другие электронные устройства с дактилоскопическими датчиками являются не такими защищенными, как принято считать.

Проблема заключается в том, что из-за своих слишком маленьких размеров датчики сканируют не всю поверхность пальца, а только небольшую ее часть. Кроме того, некоторые мобильные устройства позволяют сохранять сразу несколько отпечатков, и идентификация пользователя происходит, если совпал какой-нибудь из них.

Как предположили исследователи, у многих людей фрагменты отпечатков могут совпадать, и злоумышленники способны создать универсальный «мастер-отпечаток» для обхода биометрической системы аутентификации. Ученые проанализировали 8,2 тыс. фрагментов отпечатков пальцев и нашли множество совпадений. С помощью коммерческого ПО для верификации отпечатков пальцев они обнаружили 92 потенциальных «мастер-отпечатка» для каждой группы из 800 случайно отобранных отпечатков. «Мастер-отпечатком» исследователи считали фрагмент, совпадающий по крайней мере с 4% остальных в группе.

Отметим, в ходе исследования из 800 полных отпечатков целой поверхности пальца был обнаружен только один «мастер-отпечаток». Исследователи проанализировали универсальный «мастер-отпечаток» и разбили на фрагменты. Как оказалось, с помощью фрагментов универсального отпечатка обойти систему аутентификации еще легче.


Источник: Новости - SecurityLab.ru

IoT-ботнет Amnesia эксплуатирует известную уязвимость в DVR-устройствах

Специалисты Palo Alto Networks обнаружили новую вариацию ботнета Tsunami, который строится на базе IoT-устройств. Преимущественно в состав ботнета входят DVR-девайсы китайского производителя TVT Digital, которые продаются по всему миру более чем под 70 различными брендами.

В 2016 году исследователь Ротем Кернер (Rotem Kerner), специалист по безопасности из компании RSA Security, обратил внимание на то, что у многих компьютеров, пораженных вредоносом Backoff, на портах 81, 82 и 8000 запущен небольшой веб-сервер. Недолгие изыскания показали, что этот веб-сервер служит для доступа к камерам видеонаблюдения и DVR-девайсам, которые выпускает китайская фирма TVT Digital.

Кернер быстро обнаружил, что Shodan находит около 30 000 таких камер. Также исследователь без особого труда нашел уязвимость в софте производителя. Оказалось, что при обработке запроса веб-сервер без проверки вставляет фрагмент адреса страницы в командную строку. Один правильно сформированный URL и устройство исполнит любую команду атакующего.

Связаться с представителями TVT Digital Кернер не сумел, и в результате обнаруженная им RCE-уязвимость так и осталась неисправленной. Так как эксплоит был доступен публично, злоумышленники поспешили взять баг на вооружение, и атаковать уязвимые устройства TVT Digital. Уже в прошлом году эти девайсы стали сердцем многих IoT-ботнетов, но преимущественно построенных на базе вредоноса Mirai.

Теперь, согласно сообщению аналитиков Palo Alto Networks, устройства TVT Digital вновь находятся под атакой, однако ответственность лежит на другой малвари. Вредонос, который исследователи назвали Amnesia, является наследником известной малвари Tsunami, предназначенной для атаки на IoT- и Linux-девайсы, c целью создания ботнета для DDoS-атак.

Исследователи отмечают, что Amnesia обзавелась новыми функциями, в частности, «научилась» определять, не пытаются ли исследователи запустить ее в песочнице или на виртуальной машине. Хуже того, если Amnesia заподозрит, что ее пытаются изучать, малварь мстительно удалит не только себя, но очистит всю систему вообще.

Согласно Shodan, в настоящее время в сети можно обнаружить более 50 000 IoT-устройств, уязвимых перед описанными атаками, тогда как по данным Censys, таких девайсов насчитывается до 705 000. Надо полагать, реальное количество лежит где-то посередине, но не все уязвимые устройства произведены TVT Digital.


Источник: «Хакер»

10 апреля 2017 г.

Неизвестные хакеры активировали 156 сирен тревоги по всему Далласу

В ночь с 7 на 8 апреля 2017 года жителям американского Далласа в штате Техас не удалось выспаться. По всему городу неожиданно заработали 156 аварийных сирен, которые обычно оповещают о приближении торнадо. По словам жителей, сирены заработали после полуночи и суммарно включались не менее дюжины раз. Примерно в 1:20 ночи городские власти были вынуждены отключить систему вообще, убедившись, что никакой чрезвычайной ситуации на самом деле не наблюдается. Однако причиной столь неожиданного включения сигнала тревоги стал отнюдь не технический сбой.

Представители местной службы по чрезвычайным ситуациям сообщили, что активация системы произошла не из-за сбоя, но по чьему-то злому умыслу: неизвестные включили сирены по всему городу нарочно. При этом власти уже исключили версию работы инсайдера и назвали случившееся взломом, причем осуществленным откуда-то из самого Далласа. Поначалу специалисты пытались отключить тревогу или хотя бы звук сирен, но неизвестные атакующие активировали сирены снова, именно поэтому город в итоге «прослушал» как минимум двенадцать волн атаки. В настоящее время продолжается расследование случившегося, систему перезагрузили и запустили снова, но специалисты еще продолжают тестирование.

Если атакующие хотели напугать горожан, сыграв с ними злую шутку, им это определенно удалось. Начиная с 23:30 пятницы и заканчивая 3:30 субботы на пульт экстренной службы 911 поступило более 4400 звонков, что вдвое превышает обычное количество обращений в эти часы. В пиковый момент атаки ответов операторов на линии ожидали несколько сотен человек. Ниже можно увидеть видео, снятое в эту неспокойную ночь очевидцем.

Фото: Leif Skoogfors/FEMA   


Источник: «Хакер»

Хакеры больше года эксплуатируют уязвимость в китайских IoT-устройствах

Безответственный китайский продавец видеорегистраторов до сих пор не исправил уязвимость, уже больше года эксплуатируемую операторами IoT-ботнетов. Данная уязвимость позволяет злоумышленникам удаленно выполнить код путем отправки простого запроса и получить полный контроль над устройством.

Проблема была обнаружена в марте прошлого года исследователем Ротемом Кернером (Rotem Kerner) в прошивке продуктов китайской компании TVT. К сожалению, компания не является производителем, а лишь продавцом. То есть, вендоры покупают у нее устройства, ставят свои логотипы и продают под различными торговыми марками. Кернеру удалось выявить 70 брендов, продающих уязвимые продукты от TVT. Исследователь несколько раз безуспешно пытался связаться с компанией, однако уязвимость до сих пор остается неисправленной.

Первый крупный ботнет из устройств от TVT был обнаружен в июне 2016 года экспертами компании Sucuri, состоял из 25 тыс. ботов и использовался для осуществления DDoS-атак на уровне приложений мощностью до 50 тыс. запросов в секунду.

Согласно недавнему отчету Palo Alto Networks, устройства от TVT атакует новое вредоносное ПО Amnesia, объединяющее их в крупный ботнет для осуществления DDoS-атак. Вредонос создан на базе более старой версии Tsunami для IoT-устройств под управлением Linux. Новая модификация представляет собой первое вредоносное ПО для устройств «Интернета вещей», способное обнаруживать песочницу. До сих пор такой функцией обладали только вредоносы для Android и Windows.

Amnesia может определять, когда исследователи безопасности пытаются выполнить его на виртуальной машине. В таких случаях вредонос удаляет всю файловую систему виртуальной машины – функция, ранее не встречавшаяся исследователям.


Источник: Новости - SecurityLab.ru

8 апреля 2017 г.

Обнаружен вредонос BrickerBot, который умышленно «убивает» IoT-устройства

Специалисты компании Radware бьют тревогу: обнаружена странная малварь BrickerBot, которая выводит из строя IoT-устройства, умышленно повреждая ядро и делая невозможным хранение данных. Серверы-ловушки Radware зафиксировали первые атаки со стороны BrickerBot 20 марта 2017 года. Вредонос «охотится» на устройства Linux BusyBox, и в настоящее время исследователи обнаружили две версии BrickerBot (BrickerBot.1 и BrickerBot.2).

Во время первой фазы атаки BrickerBot действует точно так же, как Mirai, Hajime, LuaBot и другая IoT-малварь: он осуществляет словарную атаку, то есть брутфорсит устройство через Telnet, пытаясь подобрать учетные данные. В коде вредоноса для этого жестко закодированы списки логинов и паролей по умолчанию, используемые для разных устройств.

Если учетные данные подошли, и малварь сумела проникнуть в систему, начинается вторая фаза атаки, в ходе которой BrickerBot ломает устройство. Чтобы вывести девайс из строя, BrickerBot использует несколько различных техник, и именно в этом заключается разница между версиями вредоноса. Тем не менее, цель всегда одна – превратить устройство в «кирпич». Для этого BrickerBot выполняет на устройстве следующие действия:

  • портит данные на накопителях устройства;
  • отключает TCP timestamps (устанавливая значение net.ipv4.tcp_timestamps=0), из-за чего соединение с интернетом становится проблематичным;
  • устанавливает значение kernel threads на единицу (kernel.threads-max=1) против обычных 10 000 для девайсов на базе ARM, что практически останавливает все операции ядра;
  • перезагружает устройство.

В результате устройство перестает работать за считанные секунды после заражения. Эксперты относят такие атаки к PDoS (Permanent Denial of Service, «Перманентный отказ в обслуживании»), а также называют phlashing.

Аналитики Radware уже зафиксировали 1895 попыток PDoS’а за последние четыре дня, и атаки продолжаются. Эксперты отмечают, что BrickerBot.1 распространяется с IP-адресов по всему миру и, судя по всему, эти адреса принадлежат сетевым устройствам Ubiquiti, на которых работает устаревшая версия сервера Dropbear SSH. Более сложный BrickerBot.2, выполняющий больше вредоносных команд, скрывается за нодами Tor и его практически невозможно отследить. Впрочем вторая версия пока ответственна лишь за 333 атаки.

Эксперты пишут, что BrickerBot – это редкий в наши дни образец малвари, которая создана не ради финансовой выгоды. Обычно IoT-вредоносы заражают устройства, чтобы сделать их частью ботнета, использовать для DDoS-атак, проксирования трафиками и других схожих целей. Однако BrickerBot просто ломает. Никакого «второго дна» здесь нет.

Исследователи предполагают, что автор BrickerBot может быть своего рода «мстителем», который зачищает сеть от небезопасных устройств, преподавая жестокий урок их владельцам. Похожие вредоносы появлялись и ранее, к примеру, можно вспомнить малварь Linux.Wifatch, которая взламывала небезопасные роутеры, чтобы улучшить их безопасность. Впрочем, BrickerBot действует гораздо жестче.

Виктор Геверс (Victor Gevers), глава GDI.foundation и известный ИБ-эксперт, предполагает, что «кто-то пытается разгрести бардак жесткими методами». Геверс соглашается, что такой подход эффективен, однако нелегален, опасен и несет немалые риски.

«Представьте, что отключили камеру наблюдения в посольстве. Это стоит рассматривать как акт агрессии против конкретной страны? — приводит простой пример Геверс. — Такие атаки очень легко осуществить, и я думаю, это только начало. Я не хотел бы вешать на эту работу ярлык нехорошей, но, полагаю, существуют другие, менее деструктивные способы достижения той же цели. Вместо “окирпичивания” [устройств] можно сохранить их работоспособность и просто исправить уязвимости. Это требует большей тонкости».

Тем не менее, эксперт даже поблагодарил автора BrickerBot и решил через СМИ сделать ему предложение:

«Как глава GDI.foundation я хотел бы поблагодарить того, что стоит за этим. Ваше “просветительское” послание было услышано четко и ясно. Я буду очень признателен, если [авторы BrickerBot] свяжутся с нами, чтобы мы вместе могли увести в оффлайн оставшиеся небезопасные IoT-устройства, но сделать это немного более конструктивно», — говорит Геверс.


Источник: «Хакер»