BrickerBot phá huỷ firmware của thiết bị IoT

15:24 | 17/04/2017

Các nhà nghiên cứu tại công ty phần mềm bảo mật Radware vừa chỉ ra một hình thức tấn công mới, phá huỷ các thiết bị IoT thay vì thiết lập thành một mạng botnet.



Được đặt tên là từ chối dịch vụ lâu dài (PDoS), các cuộc tấn công thậm chí có thể dẫn đến việc phải thay thế hay cài lại phần mềm. Cụ thể, các lỗ hổng bảo mật bị lợi dụng để phá huỷ firmware hoặc các chức năng cơ bản của hệ thống.

Một trong những công cụ được sử dụng ở dạng tấn công này có tên BrickerBot. Các nhà nghiên cứu đã quan sát được hai biến thể xuất hiện từ ngày 20/3/2017. Một biến thể có vòng đời rất ngắn, trong khi biến thể còn lại vẫn tiếp tục hoạt động. Cả hai biến thể này đều có cùng mục đích là xâm nhập vào thiết bị IoT và đánh sập bộ nhớ thiết bị.

Để xâm nhập thiết bị, BrickerBot sử dụng kiểu tấn công khai thác tài khoản quản trị (Telnet brute force), phương pháp mà trước đây Botnet Mirai đã dùng để thiết lập các cuộc tấn công từ chối dịch vụ (DDoS).

Khi truy cập thành công vào thiết bị, PDoS bot sẽ thực thi một chuỗi các lệnh Linux nhằm làm sập bộ nhớ. Tiếp theo, nó tìm cách ngắt kết nối Internet và xóa tất cả các tệp tin.

Hình thức tấn công này nhằm mục tiêu đặc biệt đến các thiết bị IoT vận hành trên nền tảng Linux/BusyBox mở cổng Telnet công khai trên Internet. Đây cũng là các loại thiết bị mà mã độc Mirai và các botnet IoT liên quan đã từng nhằm tới.

Các vụ tấn công PDoS được ghi nhận bắt nguồn từ một số lượng giới hạn các địa chỉ IP trên toàn cầu với tất cả các thiết bị đều mở cổng 22 (SSH) và chạy phiên bản cũ của máy chủ SSH Dropbear. Đó là thiết bị mạng Ubiquiti.