DDoS saldırıları için kullanılabiliyor
Yeni bir saldırı tipi güvenliksiz IoT cihazlarının kodlarını karıştırarak, cihazları kullanılmaz hale getiriyor. Radware güvenlik firması ‘BrickerBot’ isimli zararlı yazılımı ilk olarak geçen ay tespit etmiş. Yazılım, birkaç gün içerisinde kendini yüzlerce kez bulaştırma girişiminde bulunmuş. Zararlı yazılım, internette kolayca bulunabilen ‘varsayılan’ kullanıcı adı ve şifreyi kullanarak cihaza erişim sağladığında cihazın hafızasını çökerterek, aynı zamanda ‘Bricking (etkisizleştirme)’ olarak da bilinen kalıcı bir Denial of Service (PDoS) durumunun oluşmasına neden oluyor.
[irp posts=”2755″ name=”İngiliz polisi DDoS saldırıları için ödeme yapanların üstüne gidiyor”]
Diğer bir deyişle bu saldırı cihaza öyle zarar veriyor ki cihazın değiştirilmesi, ya da donanımının yenilenmesi gerekiyor.
IoT cihazlarda devam etmekte olan bir güvenlik sorunu: Hackerların kontrol ettikleri Mirai yazılımı gibi Botnet’ler, güvenliği alınmamış cihazlara bulaşarak, web sitelerinin ve sunucuların aşırı internet trafiği uygulanması yöntemiyle çökertmek için kullanılıyorlar.
Geçen yıl yoğun bir denial-of-service (DDoS) saldırısı ile Amerika’daki internet bandının büyük bir bölümünü çökerten Mirai botnet’i gibi BrickerBot’ da benzer saldırı yöntemini mevcut kullanıcı adı ve şifrelerden oluşan listeyi kullanarak telnet hesaplarına brute-forcing yöntemi ile bağlanıyor.
Radware, web kamerası, oyuncak, ya da akıllı lamba gibi saldırı riski altında bulunan IoT cihazlara sahip değil fakat, telnet portu açık ve internet üzerinden erişime maruz olan BusyBox araç kitini çalıştıran Linux tabanlı birkaç cihaz kullanıyor.
Araştırmacılar saldırıların, aynı zamanda geçen yıl saldırıya uğrayan ‘Ubiquiti’ ağlarında bulunan cihazların hedef alınması olayı ile benzerlik taşıdıklarını da belirtiyor.
Yazılım cihaza bağlandığı zaman bir dizi komut çalıştırıyor. Bu komutlar varsayılan giriş kapısını (gateway) kaldırmayı, rm –rf /* komutlarıyla cihazı silmeyi ve cihaz hafızasını karıştırabilecek olan maksimum kernel iş parçacığı sayısını ‘1’ ile sınırlandırarak, TCP zaman damgalarını devre dışı bırakmayı deniyor.
Araştırmacılar yazılımın bulaşma izlerini etkin bir şekilde silmek için tüm iptables firewall ve NAT kurallarını sıfırlamak ve dışarı giden paketlerin hepsini düşürmek üzere bir kural eklediğini de belirtiyorlar.
Radware yaptığı açıklamada “Maalesef kameraya yapmış olduğumuz fabrika ayarı resetinden sonra bile cihazı kurtaramadık. Cihaz etkin bir şekilde ‘bricked’ olmuştu (ıskartaya çıkmıştı)” dedi.
Bu arada cihaz-bozucu bot Tor ağı kullanarak konumunu gizlediği için, saldırının nereden geldiğini bilmenin de bir yolunun olmadığı belirtildi.