Un développeur adolescent et son équipe ont mis au point un nouveau programme malveillant, Silex, qui a délibérément bloqué des appareils IdO mal protégés par milliers, sur une courte période. Les attaques se sont arrêtées lorsque le serveur de commande et de contrôle est tombé en panne vers 16 heures EST. Même sans le serveur de commande et de contrôle pour envoyer des instructions, le logiciel malveillant a continué d’exécuter ses routines sur les appareils infectés.
Larry Cashdollar de l’équipe Akamai Security Intelligence Response Team (SIRT) a été le premier à découvrir Silex. Le malware a frappé son honeypot en essayant des informations d’identification par défaut sur une connexion telnet.
Le chercheur affirme que Silex supprime le système infecté en écrivant des données aléatoires à partir de ‘/ dev / random’ sur tous les lecteurs de stockage détectés.
« En examinant les échantillons binaires collectés dans mon pot-de-miel, je vois que Silexbot appelle fdisk -l qui va alors répertorier toutes les partitions du disque. À l’aide de cette liste, Silexbot écrit ensuite des données aléatoires de / dev / random sur l’une des partitions qu’il découvre », a-t-il expliqué dans un billet dans lequel il a livré son une analyse.
Silex exécute certaines commandes néfastes qui suppriment les configurations réseau, effacent les règles iptables et ajoutent une règle qui supprime toutes les connexions avant de redémarrer le périphérique.
Ces instructions rendent l’appareil affecté inutilisable. Pour retrouver l’usage de leurs appareils, les victimes doivent réinstaller manuellement le micrologiciel du périphérique, une tâche parfois trop compliquée pour la majorité des propriétaires de périphériques. Il n’est pas exclu que certains propriétaires jettent leurs appareils, pensant avoir eu une panne matérielle sans savoir qu’ils ont été touchés par des logiciels malveillants.
Cashdollar a examiné les fichiers binaires des systèmes ARM, mais une version du shell Bash était également disponible au téléchargement, de sorte que toute architecture de type UNIX aurait pu être une cible.
Une équipe de trois personnes dont un adolescent de 14 ans
Selon le chercheur en sécurité Ankit Anubhav de NewSky, Silex a été créée par une équipe de trois personnes, le principal responsable étant un adolescent d’un pays européen utilisant les pseudonymes ‘Light The Leafon’ et ‘Light The Sylveon’. Les deux autres membres sont “Alx” et “Skiddy”.
Light The Leafon est l’auteur d’un autre bot appelé HITO, basé sur un autre programme malveillant IdO appelé Mirai. Il a rapidement développé des compétences lui permettant d’écrire son propre botnet.
Quant au but de Silex, il est conçu uniquement pour bricoler des dispositifs IdO afin d’empêcher les script kiddies de les atteindre. Autrement dit, l’auteur de programmes malveillants s’oppose à ce que les développeurs moins expérimentés puissent compromettre des systèmes non protégés et les utiliser pour gagner de l’argent.
Lors de l’exécution, Silex affiche le message suivant de l’auteur, s’excusant de cette attaque et en expliquant la raison.
Anubhav a parlé à Light de HITO il y a deux mois et a publié l’interview sur son podcast. L’auteur a déclaré lors de l’entretien qu’il avait 14 ans. Light a déclaré que le projet avait démarré comme une blague mais qu’il était maintenant devenu un projet à temps plein et qu’il avait abandonné l’ancien botnet HITO pour Silex.
L’adolescent a déclaré qu’il envisageait de développer davantage le logiciel malveillant et d’ajouter des fonctions encore plus destructrices. « La fonctionnalité originale de BrickerBot sera retravaillée », a déclaré Light à Anubhav.
Les plans incluent l’ajout de la possibilité de se connecter à des périphériques via SSH, en plus de la capacité de détournement de Telnet actuelle. De plus, Light prévoit également d’incorporer des exploits dans Silex, donnant ainsi au logiciel malveillant la possibilité d’utiliser des vulnérabilités pour pénétrer dans des appareils, de la même manière que la plupart des réseaux de botnets IoT actuels.
« Mon ami Skiddy et moi allons retravailler tout le bot », a assuré Light. « Il va cibler chaque exploit connu du public que charge Mirai ou Qbot ».
En somme, le plan initial de Silex consistait à développer un réseau de robots en intégrant de nouvelles méthodes de compromissions, telles que des exploits pour les vulnérabilités connues.
Voici les commandes Silex
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 | "busybox cat /dev/urandom >/dev/mtdblock0" "busybox cat /dev/urandom >/dev/sda" "busybox cat /dev/urandom >/dev/ram0" "busybox cat /dev/urandom >/dev/mmc0" "busybox cat /dev/urandom >/dev/mtdblock10" "fdisk -C 1 -H 1 -S 1 /dev/mtd0" "fdisk -C 1 -H 1 -S 1 /dev/mtd1" "fdisk -C 1 -H 1 -S 1 /dev/sda" "fdisk -C 1 -H 1 -S 1 /dev/mtdblock0" cat /proc/mounts cat /dev/urandom | mtd_write mtd0 - 0 32768 cat /dev/urandom | mtd_write mtd1 - 0 32768 busybox cat /dev/urandom >/dev/mtd0 & busybox cat /dev/urandom >/dev/sda & busybox cat /dev/urandom >/dev/mtd1 & busybox cat /dev/urandom >/dev/mtdblock0 & busybox cat /dev/urandom >/dev/mtdblock1 & busybox cat /dev/urandom >/dev/mtdblock2 & busybox cat /dev/urandom >/dev/mtdblock3 & busybox route del default cat /dev/urandom >/dev/mtdblock0 & cat /dev/urandom >/dev/mtdblock1 & cat /dev/urandom >/dev/mtdblock2 & cat /dev/urandom >/dev/mtdblock3 & cat /dev/urandom >/dev/mtdblock4 & cat /dev/urandom >/dev/mtdblock5 & cat /dev/urandom >/dev/mmcblk0 & cat /dev/urandom >/dev/mmcblk0p9 & cat /dev/urandom >/dev/mmcblk0p12 & cat /dev/urandom >/dev/mmcblk0p13 & cat /dev/urandom >/dev/root & cat /dev/urandom >/dev/mmcblk0p8 & cat /dev/urandom >/dev/mmcblk0p16 & route del default iproute del default ip route del default rm -rf /* 2>/dev/null & iptables -F iptables -t nat -F iptables -A INPUT -j DROP iptables -A FORWARD -j DROP halt -n -f reboot |
