کمیته رکن چهارم – محققان امنیتی گروه جدیدی از حملات سایبری را شناسایی کردهاند که دستگاههای اینترنت اشیاء را هدف حملهی خود قرار دادهاند و بهجای تبدیل این دستگاهها به باتنت به منابع این دستگاه آسیب میرسانند.
به گزهرش کمیته رکن چهارم، این حملات منع سرویس دائمی۱ (PDoS) نامگذاری شده و بسیار مخرب هستند و پس از وقوع آن ضروری است تا دستگاه تعویض شده و یا سختافزار آن مجدد نصب شود. محققان امنیتی توضیح دادند پس از بهرهبرداری از آسیبپذیریهای این دستگاهها، مهاجمان میتوانند ثابتافزار و برنامههای سامانهای را از کار بیندازند.
یکی از بدافزارهایی که در این نوع از حملات مورد استفاده قرار میگیرد، BrickerBot است که محققان امنیتی اخیراً دو نسخهی مختلف از آن را مشاهده کردهاند. یکی از این نسخهها عمر کوتاهی داشته و پس از مدتی غیرفعال باقی میماند ولی نسخهی دیگر همچنان به کار خود ادامه میدهد. با اینحال هر دو نسخه هدف یکسانی دارند: آلوده کردن دستگاه اینترنت اشیاء و آسیب رساندن به منابع ذخیرهشده بر روی دستگاه.
هر دوی این نسخه از بدافزار، در یک تاریخ مشخص حملات منع سرویس دائمی را شروع کرده و محققان آنها را با فاصلهی یک ساعت از هم کشف کردهاند. نسخهی اول از بدافزار که دارای عمر کوتاهی است، حملات شدیدتری انجام میدهد در حالیکه نسخهی دیگر شدت کمتری داشته ولی حملات آن دقیقتر است و برای مخفی شدن از شبکهی گمنامی Tor بهره میبرد.
برای آلوده کردن دستگاه اینترنت اشیاء، بدافزار BrickerBot از حملهی جستجوی فراگیر بر روی پروتکل telnet استفاده میکند. این روش قبلاً نیز در حملات بدافزار Mirai مورد استفاده قرار گرفته بود تا دستگاهها را آلوده کرده و از آنها برای حملات منع سرویس توزیعشده استفاده کند. پس از دسترسی موفق به دستگاه مورد نظر، بدافزار برخی دستورات لینوکسی را برای خراب کردن منابع ذخیرهسازی دستگاه اجرا میکند. در ادامه نیز تلاش دارد اتصال دستگاه به اینترنت را قطع کرده و تمامی پروندههای موجود بر روی دستگاه آلوده را حذف کند. این حمله بیشتر دستگاههای اینترنت اشیاء مبتنی بر سامانههای لینوکس را که درگاه telnet در آنها باز بوده و از طریق اینترنت قابل دسترسی است، هدف قرار میدهد. دستگاههایی که هدف حملهی باتنت Mirai قرار گرفته بودند، در برابر حملهی باتنت جدید نیز آسیبپذیر هستند.
حملات منع سرویس دائمی، از روی تعداد محدودی از آدرسهای IP انجام شده و بر روی تمامی عاملها، درگاه ۲۲ باز بوده و از یک نسخهی بسیار قدیمی کارگزار Dropbear SSH استفاده میکردند. محققان امنیتی نوع دوم از حملات منع سرویس دائمی را نیز شناسایی کردند که در آن آدرسهای IP پشت یک شبکهی Tor مخفی میشود. این حملات همچنان ادامه داشته و بر روی سرویس telnet حملات جستجوی فراگیر با نام کاربری و گذرواژههای root/root و root/vizxv انجام میدهند. در ادامه نیز برای آسیب به منابع ذخیرهسازی دستگاه، دستورات لینوکسی دیگری اجرا میشود.
محققان امنیتی میگویند در این حملات از ابزار busybox استفاده نشده ولی مهاجمان از ابزارهای dd و cat که بر روی دستگاههای آلوده وجود دارد، استفاده میکنند. در نهایت در این حملات تلاش میشود تا دروازهی پیشفرض بر روی دستگاه حذف شده و مُهرزمانی TCP غیرفعال شود. با کمک دستورات اضافی دیگر، مهاجمان تلاش میکنند تمامی قوانین iptable و NAT را حذف کرده و قوانین جدیدی برای رها کردن تمام بستههای خروجی اعمال کنند.
منبع:security week
