Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Сигурност
10 апр
2017
 
 

Зловредни IoT кодове започнаха да трият и данни

Изследователи са засекли атаки срещу устройства, при които са трити данни от заразените системи.

1594 прочитания, 0 коментара

Хакери са започнали да добавят методи за изтриване на данни към зловредните кодове, които заразява обекти тип Интернет на нещата и други вградени устройства. Напоследък са засечени две атаки, при които е наблюдавано подобно поведение, макар и по различни причини

Зловредни IoT кодове започнаха да трия и данни

Изследователите от Palo Alto Networks са открили нова зловредна програма кръстена Amnesia, която заразява цифрови видеорекордери чрез уязвимост, известна от 1 година. Amnesia е вариант на по-стар ботнет IoT клиент, наречен Tsunami, но по-интересното е, че новата версия се опитва да засече дали работи вътре във виртуализирана среда.

Прочетете още: Cоциалният фишинг и криптовирусите налагат отворен подход на защитата

Зловредният код осъществява някои проверки, за да определи дали Linux е стартирана във виртуална машина, базирана на VirtualBox, VMware или QEMU. Подобни среди се използват от фирмите за сигурност за реализация на „пясъчни сандъчета“ за проверка и анализ именно на зловредни кодове.

Засичането на виртуална машина съществува в зловредните програми за Windows от години, но сега за първи път тази функция се наблюдава в зловреден код, създаден за Linux базирани вградени устройства. Ако Amnesia засече наличието на виртуална машина, ще се опита да изтрие критични директории от файловата система, използвайки командата "rm -rf" в Linux, за да разруши всяко доказателство за умишлена дейност, което евентуално се събира.

Същевременно изследователи от доставчика на защитни услуги Radware са открили друга зловредна атака, насочена срещу IoT устройства, която са нарекли BrickerBot. Тази атака е стартирана от компрометирани маршрутизатори и безжични точки за достъп срещу други Linux базирани вградени устройства.

Зловредният код се опитва да влезе чрез популярна комбинация от име и парола в устройства, в които работи услугата Telnet и имат връзка към интернет. Ако успее да „отгатне“ паролата за достъп, зловредният код задейства серия разрушителни команди, които да презапишат данни от достъпните сектори в устройството. Освен това той се опитва да прекъсне интернет връзката, така че устройството да стане безполезно.

Някои устройства може и да „оживеят“ след атаката, тъй като ползват дялове от диска само за четене, но много други ще се нуждаят от преинсталиране на фърмуера. Някои конфигурации ще бъдат загубени и в този случай маршрутизаторите с USB портове или свързани мрежови дискове може да „позволят“ изтриване на данни от външните твърди дискове.

На практика един от вариантите за атака BrickerBot не се ограничава само до вградените и IoT устройства, а работи и във всяка Linux базирана система, достъпна през Telnet, ако тя има слаба парола или парола по подразбиране.

Не е ясно каква е целта на атаките BrickerBot. Създателят на зловредния код може да е някой, който иска да изключи уязвимите устройства от Интернет, така че те да не бъдат заразени и увредени от други хакери.

Някои от най-мощните DDoS атаки през последните години тръгнаха именно от бот мрежи от хакнати IoT устройства, така че намерението на тази атака може да е да принуди потребителите да предприемат действия и да поправят или заменят уязвимите си устройства.

Повечето потребители вероятно дори не знаят дали техните маршрутизатори, IP камери или мрежови дискове са заразени със зловреден код или че са използвани за DDoS атаки, тъй като влиянието им върху тяхната производителност може да е незабележимо. Те обаче ще разберат веднага че има нещо объркано, ако бъдат „ударени“ от BrickerBot, тъй като техните устройства ще спрат да работят и много ще трябва да се намесят ръчно за поправката им.

Ботът Amnesia е много добър пример за това как уязвимостите могат да си стоят „незакърпени“ с години във вградените устройства. „Дупката“, използвана от зловредния код за масовото му разпространение, бе открита преди повече от година и засегна над 70 марки цифрови видеорекордери (DVR) – системата, която записва видепотоци от камери за видеонаблюдение.

Причината да бъдат засегнати толкова много DVR модели е, че компаниите ги продават под различни марки, но хардуерът и системният софтуер на практика са произведени от един и същи китайски OEM доставчик – компанията от Шънджън TVT Digital Technology.

Практиката за допълнително надписване е често срещана при много IoT устройства, включително IP камери и маршрутизатори, а това затруднява разпращането на „защитни кръпки“ до всички заразени устройства. Това е и една от причините толкова много устройства да не разполагат с функция за автоматично обновление.

В момента има над 227 000 цифрови видеорекордери в света, в които е налична тази уязвимост, като те са свързани директно към интернет, твърдят от Palo Alto Networks. Повечето от тях са в Тайван, САЩ, Израел, Турция и Индия.

Когато си купуват камера, маршрутизатор, NAS система или друго IoT устройство, потребителите трябва да проверят защитните мерки на производителя, например дали компанията има специална форма за контакт при проблеми със сигурността. Как компанията се е справяла с уязвимости в своите продукти в миналото? Дали е публикувала съвети за защита? Дали регулярно публикува защитни „кръпки“? Дали поддържа своите продукти достатъчно дълъг, но все пак разумен времеви период? Дали продуктите разполагат с функция за автоматично обновление?

Отговорите на тези въпроси би трябвало да определят информираното решение за покупка, а не да се разчита изцяло на цената, тъй като всички софтуерни приложения имат пропуски, а уязвимости се откриват редовно и в евтини, и в скъпи устройства. Така че е много важно как производителите се справят с тези пропуски.

IDG News Service

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
ТОП100 НА ТЕХНОЛОГИЧНИТЕ КОМПАНИИ


Слайдшоу
ИНТЕРВЮ
Стандартизирането към добрите практики на ITIL: приоритет за VIVACOMСтандартизирането към добрите практики на ITIL: приоритет за VIVACOM

Разговор с Росен Тончев, новият директор на дирекция „Информационни технологии“ на телекомуникационния оператор.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас