Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

Il bot BrickerBot mette fuori uso dispositivi IoT

bot  BrickerBot  IoT   lunedì, 10 aprile 2017

Gli esperti di sicurezza della società Radware hanno individuato due diverse varianti del bot BrickerBot in grado di danneggiare in maniera irreparabile i dispositivi IoT mediante attacchi di tipo Permanent Denial-of-Service (PDoS).

Gli attacchi di tipo PDoS, conosciuti in alcuni ambienti anche come “phlashing”, danneggiano il sistema al punto che diviene necessario reinstallare il firmware o sostituire completamente l’hardware.

A partire dallo scorso 30 marzo, i ricercatori di Radware hanno intercettato mediante la propria rete di honeypot due diverse ondate di attacchi PDoS provenienti da due varianti dello stesso malware. La prima ondata, battezzata BrickerBot.1, ha fatto registrare 1.895 tentativi di PDoS ed è durata solo quattro giorni. Gli attacchi sono stati originati da dispositivi esposti sulla rete mediante la porta 22 aperta (SSH) ed equipaggiati con una versione non aggiornata del software Dropbear SSH. La maggior parte di questi dispositivi è stata identificata mediante scansioni automatiche come apparati di rete prodotti dalla società Ubiquiti Networks.

Parallelamente, è stata registrata una seconda ondata inizialmente meno intensa (solo 333 tentativi di PDoS) e proveniente da un bot più avanzato, denominato BrickerBot.2. Questa seconda ondata di attacchi, tuttora in corso, proviene da indirizzi IP corrispondenti a nodi di uscita della rete TOR, per cui non è stato possibile identificarne le sorgenti reali.

BrickerBot tenta di penetrare nei dispositivi attaccando a forza bruta le credenziali di amministrazione via Telnet, tecnica già vista in altri bot similari, come Mirai. Una volta ottenuto l’accesso al dispositivo, BrickerBot lancia una serie di comandi Linux mirati a danneggiare la memoria di storage, interrompere la connettività Internet, minare le capacità di elaborazione del sistema e cancellare tutti i file sul dispositivo.

I comandi eseguiti differiscono nelle due versioni di BrickerBot, ma in entrambi i casi tentano di ottenere gli stessi risultati. In particolare, i due bot compiono le seguenti azioni malevole sul sistema:

  • scrivono dati random sui volumi di storage allo scopo di danneggiare le memorie flash e a stato solido, tipicamente usate nei dispositivi IoT;
  • disabilitano i timestamp TCP, limitando così la connettività Internet;
  • limitano il numero massimo di thread del kernel a 1, riducendo praticamente a zero le capacità elaborative del sistema;
  • rimuovono il gateway di default;
  • azzerano le regole del firewall e del NAT e aggiungono una regola per effettuare il drop dei pacchetti in uscita (solo BrickerBot.2)
  • cancellano tutti i file sul sistema;
  • riavviano il dispositivo.

Come risultato di queste azioni il dispositivo diviene totalmente non operativo nel giro di pochi secondi dall’attacco.

Gli attacchi PDoS sferrati da BrickerBot rappresentano una novità nel panorama del malware per sistemi IoT. Invece di prendere possesso dei dispositivi vulnerabili e inserirli in botnet in grado di lanciare massicci attacchi DDoS, questo malware si limita a distruggere i dispositivi stessi. Questo ha fatto ritenere ad alcuni analisti che possa trattarsi del lavoro di una sorta di “vigilante” della rete che mira a rimuovere i dispositivi vulnerabili dalla rete prima che possano cadere preda di altri bot e diventare una minaccia per l’ecosistema di Internet.

Quali che siano gli scopi degli autori di BrickerBot, simili azioni risultano comunque illegali, provocano danni economici consistenti e, in ultima analisi, potrebbero avere effetti imprevedibili anche gravi per la sicurezza delle persone e delle infrastrutture (si pensi ad interi sistemi di sorveglianza messi fuori uso all’improvviso da un simile attacco).

Come misura minima per mitigare questo tipo di attacchi, si raccomanda agli utilizzatori di dispositivi IoT potenzialmente vulnerabili di modificare le credenziali predefinite di amministrazione e di disabilitare l’accesso mediante Telnet.

Notizie correlate

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

22 novembre 2018

Gli esperti di ASERT hanno scoperto nuove varianti del bot Mirai che prendono di mira server Linux sfruttando una vulnerabilità nota della piattaforma Apache Hadoop YARN.Leggi tutto

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

12 ottobre 2018

Sono state individuate diverse vulnerabilità nell'infrastruttura Cloud di Xiongmai che consentono di compromettere milioni di telecamere IP, DVR e NVR di questo produttore.Leggi tutto

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto