BrickerBot

Атака BrickerBot состояла из нескольких этапов. Сначала вредоносное программное обеспечение сканировало интернет в поисках IoT-устройств на базе Linux с открытым портом Telnet. Доступ к устройствам осуществлялся путём перебора стандартных заводских логинов и паролей^[5].

В отличие от многих других вредоносных программ, BrickerBot не загружал на скомпрометированное устройство исполняемый бинарный файл. После успешного входа он выполнял серию стандартных команд оболочки Linux, часто используя набор утилит BusyBox^[5].

Действия вредоносного ПО были направлены на необратимое выведение устройства из строя («окирпичивание»). Ключевой частью атаки было повреждение встроенной памяти (включая блочные устройства MTD и MMC) и рекурсивное удаление всех файлов с помощью команды rm -rf /*. Кроме того, BrickerBot нарушал сетевое подключение путём отключения TCP timestamps и резко ограничивал максимальное количество потоков ядра, что приводило к полной остановке работы системы^[1].^[5][6]

В период с марта по май 2017 года было зафиксировано четыре версии BrickerBot, после чего новых модификаций вредоносного программного обеспечения не обнаруживалось^[7].

Семейство вредоносных программ BrickerBot было впервые выявлено компанией Radware 20 апреля 2017 года, когда BrickerBot совершил 1895 атак на их ловушку в течение четырёх дней. Метод атаки BrickerBot заключался в подборе пароля telnet, после чего с помощью BusyBox выполнялись команды для повреждения хранилища MMC и MTD, удаления всех файлов и отключения устройства от сети Интернет. Менее чем через час после первой атаки боты начали рассылать немного изменённые вредоносные команды, свидетельствуя о появлении новой версии — BrickerBot.2. BrickerBot.2 использовал сеть Tor для сокрытия расположения, не зависел от наличия BusyBox на целевом устройстве и мог повреждать больше типов запоминающих устройств^[8].

BrickerBot.3 был зарегистрирован 20 мая 2017 года — спустя месяц после обнаружения BrickerBot.1. В тот же день был идентифицирован один бот BrickerBot.4, однако других экземпляров BrickerBot.4 с тех пор не выявлено^[9]. Ключевым нововведением в BrickerBot.3 стало добавление команд, нацеленных на повреждение блочных устройств типа MTD (Memory Technology Device).

Создателем вредоносного программного обеспечения BrickerBot является человек, действовавший под псевдонимом Janit0r (также известен как The Janit0r или The Doctor), чья реальная личность остаётся нераскрытой. Свои действия автор описывал как форму «цифрового вигилантизма» (самосуда), ставшую реакцией на бездействие индустрии на фоне масштабных DDoS-атак 2016 года, осуществлённых с помощью ботнета Mirai. Janit0r называл свой проект «интернет-химиотерапией», целью которой было принудительное выведение из строя уязвимых устройств для предотвращения их использования в других ботнетах^[3].^[10][11].

По заявлениям Janit0r, создателя BrickerBot, программа уничтожила более десяти миллионов устройств до объявления о завершении работы 10 декабря 2017 года^[12]. В интервью изданию BleepingComputer Janit0r сообщил, что целью BrickerBot было предотвращение заражения устройств другим вредоносным ПО — Mirai^[13]. US-CERT выпустило предупреждение о BrickerBot 12 апреля 2017 года^[14]. Среди причин прекращения деятельности автор назвал опасения исказить общественное восприятие реальных угроз в сфере интернета вещей, а также боязнь юридических последствий^[13].^[11]

Атаки BrickerBot стали катализатором для внедрения более строгих стандартов безопасности IoT (например, Cyber Resilience Act в ЕС) и концепции «нулевого доверия» (Zero Trust)^[15]. В 2019 году появился идейный последователь проекта — вредоносное ПО Silex, использовавшее аналогичные методы PDoS^[16]. Кроме того, BrickerBot стал хрестоматийным примером «vigilante malware» в дискуссиях о киберэтике^[2][10].