Vokietijos federalinis informacijos saugumo biuras (BSI) sutrikdė „BadBox“ kenkėjiškų programų, iš anksto įdiegtų daugiau nei 30 000 šalyje parduodamų „Android IoT“ įrenginių, veikimą.
Paveiktų įrenginių tipai apima skaitmeninius nuotraukų rėmelius, daugialypės terpės grotuvus ir transliuotojus bei galbūt išmaniuosius telefonus ir planšetinius kompiuterius.
„BadBox“ yra „Android“ kenkėjiška programa, kuri yra iš anksto įdiegta prie interneto prijungto įrenginio programinėje įrangoje, kuri naudojama duomenims pavogti, papildomai kenkėjiškoms programoms įdiegti arba grėsmės subjektams nuotoliniu būdu gauti prieigą prie tinklo, kuriame yra įrenginys.
Kai užkrėstas įrenginys pirmą kartą prijungiamas prie interneto, kenkėjiška programa bandys susisiekti su nuotoliniu komandų ir valdymo serveriu, kurį valdo grėsmės veikėjai. Šis nuotolinis serveris praneš „BadBox“ kenkėjiškajai programai, kokios kenkėjiškos paslaugos turi būti paleistos įrenginyje, taip pat gaus duomenis, pavogtus iš tinklo.
BSI teigia, kad kenkėjiška programa gali pavogti dviejų veiksnių autentifikavimo kodus, įdiegti daugiau kenkėjiškų programų ir sukurti el. pašto bei pranešimų platformos paskyras, kad galėtų skleisti netikras naujienas. Jis taip pat gali įsitraukti į skelbimų sukčiavimą, įkeldamas ir spustelėdamas skelbimus fone, taip generuodamas pajamas už sukčiavimo žiedus.
Galiausiai „BadBox“ gali būti nustatytas veikti kaip tarpinis serveris, leidžiantis kitiems žmonėms naudoti įrenginio interneto pralaidumą ir aparatinę įrangą savo srautui nukreipti. Ši taktika, žinoma kaip gyvenamasis tarpinis serveris, dažnai apima neteisėtas operacijas, susijusias su vartotojo IP adresu.
Vokietijos kibernetinio saugumo agentūra teigia, kad užblokavo ryšį tarp kenkėjiškų programų „BadBox“ įrenginių ir jų valdymo ir valdymo (C2) infrastruktūros, paslėpdama DNS užklausas, kad kenkėjiška programa susisiektų su policijos valdomais serveriais, o ne su užpuoliko komandų ir valdymo serveriais.
„Sinkholing“ neleidžia kenkėjiškajai programai siųsti pavogtų duomenų užpuolikams ir gauti naujų komandų, kurios būtų vykdomos užkrėstame įrenginyje, taip veiksmingai užkertant kelią kenkėjiškam programinės įrangos veikimui.
„BSI šiuo metu peradresuoja paveiktų įrenginių ryšį į nusikaltėlių valdymo serverius, kaip dalį įdubimo priemonės pagal BSI įstatymo (BSIG) 7c skirsnį“, – rašoma BSI pranešime.
„Tai turi įtakos tiekėjams, turintiems daugiau nei 100 000 klientų (Daugiau apie smegduobių ėmimą). Kol BSI laikysis smegduobių priemonės, šiems įrenginiams nėra didelio pavojaus.”
Užkrėstų įrenginių savininkai turi būti informuoti
Įrenginių savininkams, kuriuos paveiks ši įdubimo operacija, interneto paslaugų teikėjai įspės pagal jų IP adresą.
Agentūra teigia, kad kiekvienas, gavęs pranešimą, turėtų nedelsdamas atjungti įrenginį nuo tinklo arba nustoti juo naudotis. Deja, kadangi kenkėjiška programinė įranga buvo iš anksto įdiegta kartu su programine įranga, kita įrenginio gamintojo programinė įranga neturėtų būti pasitikima ir įrenginį reikia grąžinti arba išmesti.
BSI pažymi, kad visuose paveiktuose įrenginiuose veikė pasenusios „Android“ versijos ir sena programinė įranga, todėl net jei jie buvo apsaugoti nuo „BadBox“, jie išlieka pažeidžiami kitų „botnet“ kenkėjiškų programų tol, kol bus veikiami internete.
„Kenkėjiškos programos gaminiuose, kuriuose veikia internetas, deja, nėra retas reiškinys. Ypač didelę riziką kelia pasenusios programinės aparatinės įrangos versijos”, – perspėjo BSI prezidentė Claudia Plattner. „Čia visi turime pareigą: gamintojai ir mažmenininkai yra atsakingi už tai, kad tokie įrenginiai nepatektų į rinką. Tačiau vartotojai taip pat gali ką nors padaryti: kibernetinis saugumas turėtų būti svarbus kriterijus perkant!”
Be to, pranešime minima, kad dėl didelių Android IoT gamintojų ir įrenginių iteracijų skirtumų labai tikėtina, kad šalyje yra daug daugiau įrenginių, užkrėstų BadBox ar panašiomis kenkėjiškomis programomis, kurių BSI šį kartą negalėjo tiksliai nustatyti.
Tai gali būti išmanieji telefonai ir planšetiniai kompiuteriai, išmanieji garsiakalbiai, apsaugos kameros, išmanieji televizoriai, srautinio perdavimo dėžutės ir įvairūs prie interneto prijungti prietaisai, kurie eina neaiškiu keliu nuo gamybos iki perpardavimo tinklų.
Ženklai, rodantys, kad jūsų įrenginys užkrėstas botneto kenkėjiška programa, yra perkaitimas, kai atrodo, kad jis nenaudojamas, atsitiktiniai našumo kritimai, netikėti nustatymų pakeitimai, netipinė veikla ir ryšiai su nežinomais išoriniais serveriais.
Norėdami sumažinti pasenusių „Android IoT“ riziką, įdiekite patikimo pardavėjo programinės aparatinės įrangos vaizdą, išjunkite nereikalingas ryšio funkcijas ir laikykite įrenginį izoliuotą nuo svarbių tinklų.
Paprastai išmaniuosius įrenginius rekomenduojama pirkti tik iš patikimų gamintojų ir ieškoti produktų, siūlančių ilgalaikį saugumo palaikymą.