Xakep #305. Многошаговые SQL-инъекции
Автор малвари BrickerBot, известный под ником janit0r, рассказал журналистам издания Bleeping Computer, что недавно деятельность его вредоноса вызывала перебои в работе калифорнийского провайдера Sierra Tel.
Инцидент, на которой указал хакер, произошел еще 10 апреля 2017 года, и тогда абоненты Sierra Tel действительно временно лишились доступа в интернет и телефонной связи. Хотя изначально предполагалось, что проблема была вызвана неудачным обновлением ПО, которое распространила компания, 11 апреля представители провайдера сообщили, что Sierra Tel пострадал от рук хакеров.
По словам представителей компании, неизвестные атаковали модемы Zyxel HN-51, которые Sierra Tel массово предоставляет своим клиентам. Так как после атак устройства уже не могли функционировать нормально, представители провайдера стали советовать пострадавшим клиентам обращаться в офисы компании за заменой. Однако сотрудники Sierra Tel явно недооценили масштабы проблемы: уже через несколько часов модемы для замены попросту закончились, а пострадавшие пользователи продолжали приходить в офисы. В итоге сотрудники компании были вынуждены забирать у пользователей вышедшее из строя оборудование, обещая отремонтировать или заменить его в самом скором будущем, но выдать пострадавшим замену на время ремонта не представлялось возможным.
Однако Janit0r утверждает, что ответственность за массовую «гибель» модемов лежит не только на BrickerBot.
«BrickerBot был активен в сети Sierra Tel, когда их клиенты начали сообщать о проблемах, но их модемы также были массово заражены [другой] малварью, так что, вероятно, проблемы с сетью были вызваны сопутствующей активностью», — говорит хакер.
Разработчик BrickerBot полагает, что часть вины за случившееся лежит на вредоносе Mirai. Напомню, что в конце 2016 года Mirai-ботнеты спровоцировали похожие перебои в работе провайдеров Deutsche Telekom, Eircom, TalkTalk, UK Postal Office и KCOM. Тогда проблема тоже заключалась в модемах Zyxel, которые оказались уязвимы перед атаками через TR-069.
«Я переживаю, что Sierra незаслуженно получила плохой PR лишь из-за того, что была честна относительно хака и не стала ничего скрывать, — признает janit0r. — Думаю, Sierra поступила правильно, проявив честность по отношению к своим клиентам. Мне приходилось видеть, как другие провайдеры скрывают такие проблемы, выдавая их за “неудачное обновление прошивки” или “временные проблемы со связью”».
Напомню, что BrickerBot появился в начале апреля 2017 года. Первыми странную IoT-малварь обнаружили специалисты компании Radware. Тогда исследователи писали, что вредонос «охотится» на устройства Linux BusyBox, и во время первой фазы атаки BrickerBot действует точно так же, как Mirai, Hajime, LuaBot и другие подобные угрозы: он осуществляет словарную атаку, то есть брутфорсит устройство через Telnet, пытаясь подобрать учетные данные. Однако дальше BrickerBot действует совершенно иначе. После проникновения в систему, он умышленно превращает устройство в бесполезный кирпич, повреждая ядро и делая невозможным хранение данных. Такие атаки называют PDoS (Permanent Denial-of-Service).
Когда журналисты Bleeping Computer сумели вычислить janit0r и выйти с ним на связь, разработчик малвари сообщил, что BrickerBot "убивает" устройства не сразу. Сначала он пытается помочь зараженному девайсу, устранив уязвимости, ничего при этом не повреждая. «Окирпичивание» является лишь «планом Б», если другие методы не сработали и сделать устройство безопасным невозможно. Очевидно, в случае Sierra Tel события развивались именно по такому сценарию.
В настоящий момент сотрудники Sierra Tel уже устранили все последствия инцидента. Так, 22 апреля 2017 года, представители компании сообщили в Facebook, что ремонт и замена пострадавшего в ходе атак оборудования окончены.