محققان امنیتی گروه جدیدی از حملات سایبری را شناسایی کرده‌اند که دستگاه‌های اینترنت اشیاء را هدف حمله‌ی خود قرار داده‌اند و به‌جای تبدیل این دستگاه‌ها به بات‌نت به منابع این دستگاه آسیب‌ می‌رسانند.

این حملات منع سرویس دائمی۱ (PDoS) نام‌گذاری شده و بسیار مخرب هستند و پس از وقوع آن ضروری است تا دستگاه تعویض شده و یا سخت‌افزار آن مجدد نصب شود. محققان امنیتی توضیح دادند پس از بهره‌برداری از آسیب‌پذیری‌های این دستگاه‌ها، مهاجمان می‌توانند ثابت‌افزار و برنامه‌های سامانه‌ای را از کار بیندازند.

یکی از بدافزارهایی که در این نوع از حملات مورد استفاده قرار می‌گیرد، BrickerBot است که محققان امنیتی اخیراً دو نسخه‌ی مختلف از آن را مشاهده کرده‌اند. یکی از این نسخه‌ها عمر کوتاهی داشته و پس از مدتی غیرفعال باقی می‌ماند ولی نسخه‌ی دیگر همچنان به کار خود ادامه می‌دهد. با این‌حال هر دو نسخه هدف یکسانی دارند: آلوده کردن دستگاه اینترنت اشیاء و آسیب رساندن به منابع ذخیره‌شده بر روی دستگاه.

هر دوی این نسخه‌ از بدافزار، در یک تاریخ مشخص حملات منع سرویس دائمی را شروع کرده و محققان آن‌ها را با فاصله‌ی یک ساعت از هم کشف کرده‌اند. نسخه‌ی اول از بدافزار که دارای عمر کوتاهی است، حملات شدیدتری انجام می‌دهد در حالی‌که نسخه‌ی دیگر شدت کمتری داشته ولی حملات آن دقیق‌تر است و برای مخفی شدن از شبکه‌ی گمنامی Tor بهره می‌برد.

برای آلوده کردن دستگاه اینترنت اشیاء، بدافزار BrickerBot از حمله‌ی جستجوی فراگیر بر روی پروتکل telnet استفاده می‌کند. این روش قبلاً نیز در حملات بدافزار Mirai مورد استفاده قرار گرفته بود تا دستگاه‌ها را آلوده کرده و از آن‌ها برای حملات منع سرویس توزیع‌شده استفاده کند. پس از دسترسی موفق به دستگاه مورد نظر، بدافزار برخی دستورات لینوکسی را برای خراب کردن منابع ذخیره‌سازی دستگاه اجرا می‌کند. در ادامه نیز تلاش دارد اتصال دستگاه به اینترنت را قطع کرده و تمامی پرونده‌های موجود بر روی دستگاه آلوده را حذف کند. این حمله بیشتر دستگاه‌های اینترنت اشیاء مبتنی بر سامانه‌های لینوکس را که درگاه telnet در آن‌ها باز بوده و از طریق اینترنت قابل دسترسی است، هدف قرار می‌دهد. دستگاه‌هایی که هدف حمله‌ی بات‌نت Mirai قرار گرفته بودند، در برابر حمله‌ی بات‌نت جدید نیز آسیب‌پذیر هستند.

حملات منع سرویس دائمی، از روی تعداد محدودی از آدرس‌های IP انجام شده و بر روی تمامی عامل‌ها، درگاه ۲۲ باز بوده و از یک نسخه‌ی بسیار قدیمی کارگزار Dropbear SSH استفاده می‌کردند. محققان امنیتی نوع دوم از حملات منع سرویس دائمی را نیز شناسایی کردند که در آن آدرس‌های IP پشت یک شبکه‌ی Tor مخفی می‌شود. این حملات همچنان ادامه داشته و بر روی سرویس telnet حملات جستجوی فراگیر با نام کاربری و گذرواژه‌های root/root و root/vizxv انجام می‌دهند. در ادامه نیز برای آسیب‌ به منابع ذخیره‌سازی دستگاه، دستورات لینوکسی دیگری اجرا می‌شود.

محققان امنیتی می‌گویند در این حملات از ابزار busybox استفاده نشده ولی مهاجمان از ابزارهای dd و cat که بر روی دستگاه‌های آلوده وجود دارد، استفاده می‌کنند. در نهایت در این حملات تلاش می‌شود تا دروازه‌ی پیش‌فرض بر روی دستگاه حذف شده و مُهرزمانی TCP غیرفعال شود. با کمک دستورات اضافی دیگر، مهاجمان تلاش می‌کنند تمامی قوانین iptable و NAT را حذف کرده و قوانین جدیدی برای رها کردن تمام بسته‌های خروجی اعمال کنند.

۱. Permanent Denial-of-Service

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

بدافزار BrickerBot به ثابت‌افزار دستگاه‌های اینترنت اشیاء آسیب می‌رساند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *