Специалисты по кибербезопасности обнаружили в сети новое зловредное ПО, которое направлено на блокирование работы IoT-гаджетов. Вредонос был запущен в сеть пару дней назад, но за это время ему удалось поразить несколько тысяч гаджетов. Атака продолжается до сих пор, а ее автором, предположительно, является 14-летний подросток из Ирана.
Первыми на проблему обратили внимание специалисты компании Akamai. Ее представители заявили, что вирус, который получил название Silex, ищет устройства, к которым можно подключиться по Telnet, коннектится, а затем заполняет все найденные накопители произвольными данными. Кроме того, зловред сбрасывает к фабричным настройкам сетевые подключения и сетевые экраны, после чего блокирует работу гаджета.
В результате таких действий пострадавший девайс превращается в «кирпич». Вернуть к жизни устройство можно только после его перепрошивки. Для владельца девайса все это выглядит так, словно устройство сломалось.
Silex атакует гаджеты с Unix-подобными системами, правда, только те из них, где данные доступа являются дефолтными. Один из экспертов по сетевой безопасности перехватил и проанализировал файл, который передавался вирусом в ARM-устройства. Кроме, того, изучен и Bash-скрипт, который дает возможность выполнять аналогичные зловреду задачи. Его можно использовать на устройствах с любой архитектурой.
О том, что вирус разработан в Иране, может свидетельствовать то, что IP-адрес, с которого осуществляется атака на IoT-гаджеты, принадлежит иранскому провайдеру.
Представители другой компании, которая специализируется на кибербезопасности, Newsky Security связались с предполагаемым создателем вируса. Как оказалось, это 14-летний подросток, который, впрочем, уже совершал масштабные атаки на пользователей сети в прошлом. Так, он считается автором ботнета HITO, который также «специализировался» на атаках IoT-устройств.
Он рассказал, что сам зловред разрабатывался в качестве шутки, но неожиданно он оказался весьма действенным. Теперь подросток уделяет основное внимание Silex. По словам злоумышленника, он планирует сделать свое творение более функциональным и опасным. В частности, кроме Telnet будет добавлен еще и протокол SSH, также возможности зловреда будут расширены за счет набора эксплоитов.
По функциональности и принципу действия вредонос похож на Brickerbot, который активно действовал в апреле-сентябре 2017 года. Он также искал устройства с дефолтными наборами учетных данных, а затем, в случае успеха, выполнял ряд действий, которые выводили гаджет из строя. За все время своего существования этот зловред поразил около 10 миллионов устройств.
