patrizio.tufarolo

BrickerBot, il malware che vigila sulla IoT

Sviluppato per fini etici, ha gią attaccato oltre 2 milioni di device vulnerabili rendendoli inutilizzabili. Al di lą dell'intento, i metodi fanno discutere

Roma - Radware, operativa nel campo della sicurezza informatica, ha individuato un nuovo bot, denominato BrickerBot, il cui scopo è quello di interrompere permanentemente il funzionamento dei dispositivi IoT vulnerabili, al fine di negare a malintenzionati la possibilità di condurre attacchi DDoS.

L'azione malevola del bot si è svolta in quattro ondate di attacchi: a partire dal 30 marzo le honeypot di Radware hanno intercettato 1895 tentativi di attacco in quattro giorni, da parte di Brickerbot.1. Questi attacchi provenivano da dispositivi Ubiquiti dei quali è stato compromesso il demone Dropbear SSH. Una successiva versione del malware, nota come Brickerbot.2, ha condotto poi un'ulteriore serie di attacchi provenienti, questa volta, dalla rete TOR. I ricercatori di Radware ne hanno poi individuato una terza versione (Brickerbot.3), e una quarta (Brickerbot.4), che hanno effettuato rispettivamente 1118 e 90 tentativi di attacco sfruttando ancora una volta il software Dropbear.

Allo stesso modo di Linux.wifatch BrickerBot scansiona la rete alla ricerca di router Linux e dispositivi IoT con il servizio Telnet attivo autenticato tramite credenziali predefinite e note. Si tratta dello stesso meccanismo utilizzato anche da Mirai, botnet IoT già nota come responsabile degli attacchi verso il provider Dyn.com che hanno compromesso la disponibilità dell'intera Rete lo scorso ottobre.
Tuttavia, mentre il comportamento di Linux.wifatch era quello di mettere in sicurezza il dispositivo vulnerabile, questo nuovo "malware vigilante" ne effettua il brick, danneggiando il firmware in modo permanente.
Si tratta dunque di un attacco PDoS (Permanent Denial-of-Service) che si articola nelle seguenti fasi, ampiamente documentate nelle note di sicurezza rilasciate da Radware:

  1. Scrittura di dati casuali sulla memoria flash o a stato solido, con l'obiettivo di danneggiarla
  2. Disabilitazione dei timestamp TCP
  3. Impostazione del numero massimo di thread del kernel a 1
  4. Rimozione del default gateway
  5. Azzeramento delle regole di filtraggio e NAT sul firewall
  6. Aggiunta di una regola per scartare i pacchetti in uscita
  7. Cancellazione dei file di sistema
  8. Riavvio del dispositivo

Inoltre il bot si avvale di circa 86 payload per la compromissione di device e protocolli specifici.

La redazione di Bleeping Computer ha approfondito la vicenda rintracciando il probabile autore del bot, presente su Hack Forums dallo scorso gennaio con il nickname janit0r.
Dalla email inviata da quest'ultimo si evincono le reali ragioni dell'attacco: l'obiettivo di janit0r è quello di sensibilizzare l'industria IoT al fine di ottenere un cambiamento radicale negli standard di sicurezza relativi a questo settore.

Un fine puramente etico, quindi, stimolato sia dalla volontà di impedire a malintenzionati di costruire botnet IoT (come quella che ha portato al già citato "venerdì nero di Internet") che dal desiderio di punire direttamente i produttori arrecando loro un danno diretto. Ciò che fa discutere la comunità è l'approccio: come è stato fatto notare da Victor Gevers, ricercatore noto per aver contrastato i ransomware che prendevano di mira MongoDB, ci sono modalità di contrasto meno drastiche della distruzione di apparati altrui.

L'impatto di questo attacco, devastante quanto imprevedibile, può essere infatti molto più grave di quanto ci si aspetti: nel caso delle telecamere Sricam AP003, ad esempio, non è stato possibile rimettere in funzione il dispositivo neppure a seguito di un ripristino alle condizioni di fabbrica.
Lo stesso CERT Nazionale ne descrive la potenziale gravità in una nota, suggerendo agli utenti di disabilitare l'accesso Telnet e di modificare sempre le credenziali predefinite.

Patrizio Tufarolo
Notizie collegate
  • SicurezzaRouter Linux, un malware li salveràUn nuovo codice infettivo si fa strada in rete alla ricerca di router e dispositivi Linux infetti, con l'insolito obiettivo di migliorarne la sicurezza. Si tratta comunque di una minaccia, dicono i ricercatori
  • AttualitàDDoS, Brian Krebs identifica l'autore di MiraiDietro una delle reti malevole pił pericolose degli ultimi anni ci sarebbe lo studente di un'universitą statunitense, assoldato per buttare gił il blog del ricercatore ma anche i server della piattaforma ludica di Minecraft
  • SicurezzaDNS, il venerdì nero di InternetIl sistema di risoluzione dei nomi di dominio ha passato un pessimo weekend per un attacco DDoS senza precedenti a opera di ignoti. L'ennesimo, e non certo l'ultimo di quella che si prevede una lunga serie di DDoS sferrati con i dispositivi della IoT
  • SicurezzaIoT? Rischio garantitoL'FBI lancia l'allerta pubblica sui rischi di cyber-crimine connessi all'uso dei gadget e sensori interconnessi, un problema di complessitą crescente che si risolve con le patch, il check-up da parte dei clienti e l'isolamento da Internet
8 Commenti alla Notizia BrickerBot, il malware che vigila sulla IoT
Ordina
  • Non solo i produttori, ma anche quella mandria di utenti babbuini (chiedo scusa alle scimmie per l'offesa) che li utilizzano...
    Quando facendo un giro su insecam.org, vedi cam con amministratore admin SENZA password ma utenti guest o visitor con password lunghe...
    Quando vedi cam che nella pagina iniziale ti mettono un avviso di CAMBIARE la password (e ci devi cliccare su OK per continuare) e la password manca del tutto...
    Quando con shodan.io vedi router con amministratore admin ma SENZA password...
    Quando...
    Quando i produttori mettono backdoors, e se scoperte, cancellano le prime e ne mettono delle altre...
    Quando i produttori una volta venduto un prodotto, lo tieni e ti attacchi e fai Tarzan...
    Quando...
    Allora ti viene voglia di dire (purtroppo) "continua cosķ, janit0r."
    non+autenticato
  • - Scritto da: umby
    > Allora ti viene voglia di dire (purtroppo)
    > "continua cosí, janit0r."
    Guarda rispondo a te ma vale anche per i geni sopra. Cambia nulla, non funziona? janit0r lo "rompe", se ne comper un altro uguale. Nessuno pensa che prima di usare ogni cosa dietro ci dovrebbe stare un cervello operativo e attento, quindi un'azione di questo genere non farà altro che favorire le vendite dello stesso o similar prodotto e finisce li
    non+autenticato
  • E' già un miracolo trovare utenti con un OS con licenza in grado di ricevere aggiornqamenti di sicurezza.
    vedi tutti quei utenti "smanettoni" che si installano il windows craccato, ed utenti che comprano l'android a 100 euro fatto e abbandonato.

    Adesso ci sono miriadi di dispositivi che non riceveranno mai un aggiornamento firmware.... Almenochè l'azienda madre non metta online pacchetti di aggironamento e l'utente sia cosi esperto da andarseli a ricercare ed installarli.

    Risultato: Milioni di device vulnerabili in mano ai "pupari".

    Ad esempio, facendo un analisi dei log su server da noi gestiti, ci sono continui tentativi di attacchi bruteforce da dispositivi come homestation, HD messi in rete, e dispositivi del genere.

    Digital Coach Italia
    non+autenticato
  • Tu bipede hai un dispositivo connesso al mondo che offre un login via telnet, con password hard-coded per n dispositivi e ti stupisci?

    In certi casi non capisco gli whitehat: se la gente si comporta, nel mondo di oggi, così è bene che la selezione naturale faccia il suo lavoro. Può esser che costoro abbian preso tanti cetrioli da non sentirne manco più uno nuovo, non importa. Se non c'è la comprensione del mondo è meglio che la natura faccia il suo corso, per tutti noi.
    non+autenticato
  • purtroppo hai ragione e un po' fa male esseri costretti a colpire l'utente, perche' andrebbero colpiti quei pallonari che questa schifezza la producono e vendono

    gente come questi qui insomma https://security-center.intel.com/advisory.aspx?in...

    si spera che vedendosi disabilitati gli IoT-cosi, le pecore utonte comincino a fare pressioni sui vari pallonari che vendono queste schifezze
    non+autenticato
  • La "vulnerabilità" di AMT che hai citato (e che era stata segnalata a Intel da un po' di gente già da anni, senza reazioni) temo sia solo la punta dell'iceberg. Purtroppo sino a che la gente, in massa, non si scotta veramente le dita (tipo carte di credito bloccate in massa, in concomitanza di blocchi ai contanti, conti correnti con "addebiti" erronei, documenti emessi o invalidati male della serie che ti dan un altro nome o te ne levano uno ecc) non si svilupperà una consapevolezza sufficiente a far cambiare.

    Oggi nessuno pensa che il frigorifero "connesso" possa essere un cavallo di troia, una vettore di attacco conto terzi, un sistema di spionaggio, non pensa che il navigatore connesso della propria auto, attaccato all'ODB possa oltre che ascoltare tramite il vivavoce anche magari attivare o impedire l'attivazione dei freni, bloccare o metter in moto l'auto ed altre cosine. Non l'han ancora subito su scala abbastanza per capirlo...
    non+autenticato
  • - Scritto da: xte
    > Tu bipede hai un dispositivo connesso al mondo
    > che offre un login via telnet, con password
    > hard-coded per n dispositivi e ti
    > stupisci?
    >
    > In certi casi non capisco gli whitehat: se la
    > gente si comporta, nel mondo di oggi, così è bene
    > che la selezione naturale faccia il suo lavoro.
    > Può esser che costoro abbian preso tanti cetrioli
    > da non sentirne manco più uno nuovo, non importa.
    > Se non c'è la comprensione del mondo è meglio che
    > la natura faccia il suo corso, per tutti
    > noi.


    No ,niente più compassione per questi animali a due zampe. L' elitè anche se non condivido il suo modo di pensare, lo capisco pienamente, eccome se li capiscoooo.
    non+autenticato
  • sempre a sparare un pannicubiglione di cazzate qui eh?
    non+autenticato