В начале апреля нынешнего года мы писали о вредоносном ПО BrickerBot, блокирующего работу устройств из сферы «Интернета вещей». BrickerBot атакует устройства на базе Linux BusyBox и по аналогии с Mirai, Hajime и LuaBot на первом этапе атаки находит доступный через интернет гаджет с открытым портом Telnet и подбирает учетные данные с помощью метода брутфорс.
После проникновения в систему BrickerBot умышленно превращает устройство в бесполезный кирпич, повреждая ядро и делая невозможным хранение данных.
С момента появления BrickerBot правоохранители и эксперты в области безопасности пытались выяснить, как именно работает вредоносное ПО, и идентифицировать личность его разработчика. Ранее исследователи пришли к выводу, что таким жестким образом автор вредоносной программы пытается обратить внимание общественности на проблему безопасности IoT-устройств. К слову, создатель BrickerBot – не единственный, кто пытается привлечь внимание к данной проблеме радикальными способами. Подобный метод использует и автор вредоносного ПО Hajime.
Неделю назад журналисты ресурса BleepingComputer получили анонимную наводку, касаемо предполагаемой личности разработчика BrickerBot, с указанием на профиль пользователя с псевдонимом janit0r на форуме Hack Forums. Так как пользователями ресурса в основном являются хакеры, склонные преувеличивать свои «заслуги», сначала журналисты проигнорировали данную информацию. Но поскольку никто другой не спешил заявлять об авторстве BrickerBot, журналисты все же решили рассмотреть профиль janit0r более внимательно.
Как выяснилось, пользователь под псевдонимом janit0r зарегистрировался на сайте в январе 2017 года и с тех пор разметил всего четыре сообщения. В первом из них он утверждал, что с ноября 2016 года «убил» более 200 Telnet-устройств. Примечательно, что сообщение было опубликовано за два месяца до обнаружения BrickerBot.
Дальнейшие сообщения также были опубликованы до выявления BrickerBot и касались уязвимости в IP-камерах Dahua второго и третьего поколений. В них janit0r выразил неудовольствие тем, что исследователь, обнаруживший уязвимость, не опубликовал PoC-код и сам объяснил, как эксплуатировать проблему. В последнем сообщении, датированном 14 апреля 2017 года, janit0r прокомментировал слухи об утечке исходного кода BrickerBot и пошутил, что если бы кто-то похитил исходный код с его компьютера, то он бы уже находился за решеткой.
Журналисты ресурса попытались связаться с автором BrickerBot и получили электронное письмо, содержащее подробности об операциях вредоносного ПО и его внутренней структуре. Письмо создателя BrickerBot начиналось со слов: «Да, я действительно janit0r с Hackforums». Далее он пояснил, какую цель преследовал при создании вредоноса. Как и полагали исследователи, janit0r решил привлечь внимание к проблеме безопасности IoT-устройств. В настоящее время janit0r не намерен прекращать атаки BrickerBot, по крайней мере до тех пор, пока власти и производители аппаратного обеспечения не начнут уделять должное внимание безопасности «Интернета вещей».
