Эксперты из компании Radware выявили новую вредоносную программу BrickerBot, которая предназначается для IoT-устройств. Атаки с ее использованием продолжаются с 20 марта.
Специалисты выявили две версии вредоносной программы – BrickerBot.1 и BrickerBot.2. Они атакуют только устройства, работающие под управлением Linux BusyBox. Первая стадия атаки является одинаковой для обеих версий. BrickerBot сначала ищет устройство с открытым Telnet-портом и подбирает учетную информацию.
BrickerBot, как и другие подобные программы для IoT-устройств, работает с перечнем известных заводских паролей и логинов. Если владелец целевого устройства не поменял учетную информацию, установленную по умолчанию, вредоносная программа пройдет авторизацию и начнет выполнение ряда команд. Каждая версия BrickerBot выполняет свои команды, но делает это с целью блокировки работы IoT-устройства.
Такой тип атаки получил от экспертов название PDoS (Permanent Denial of Service – постоянный отказ в обслуживании) или phlashing.
Как утверждают специалисты, отдельная инфраструктура применяется для распространения каждой версии вредоносной программы. В случае с BrickerBot.1 атаки проводятся с IP-адресов по всему миру и связаны с сетевыми устройствами производства Ubiquiti.
Версия BrickerBot.2 является более сложной и выполняет больше команд. При работе с BrickerBot.2 хакеры пользуются выходные узлы Tor, поэтому выявление источника является почти невыполнимой задачей.
BrickerBot не создает ботнеты из взломанных систем для того, чтобы перенаправлять вредоносный трафик или осуществлять DDoS-атаки. Вместо этого, программа позволяет хакерам выводить незащищенные IoT-устройства из строя.