Allt om det spammande kylskåpet

Så här gick det till när ett kylskåp för första gången rekryterades att skicka ut spam. Och så här ertappades det.

Under två veckor kring nyår gjorde en tvångsrekryterad armé av 450 000 datorsystem upprepade attacker mot Internet epostsystem. Tre gånger om dagen skickade de ut skurar av spampost – totalt cirka 100 000 brev per skur.

Varje avsändare bidrog med ett fåtal brev. Detta för att göra det svårare för spamfiltren att upptäcka attacken. Dessutom blev belastningen på det kapade systemet försumbar.

På detta sätt brukar attacker av detta slag gå till. Något som däremot var unikt med denna attack var att en del av de tvångsrekyterade datorsystemen var kylskåp, teveapparater och settopboxar.

Cyberattackarméer kallas botnets och brukar bestå av persondatorer och servrar. Men säkerhetsföretaget Proofpoint gjorde den oväntade upptäckten när man analyserade resterna efter attacken att 100 000 av de 450 000 systemen var nätuppkopplade inbygggda system av helt andra slag.

Detta är enligt Proofpoint (länk) den första dokumenterade cyberattacken som genomförts av ett ”Thing-botnet” som de kallar det.

Säkerhetsforskarna har länge varnat för risken för intrång i IoT-system. Jullovskampanjen demonstrerar att risken är reell. Mellan den 23 december och 6 januari skickades 750 000 brev varav cirka en fjärdedel från IoT-system.

Vad gäller datorer har folk med tiden lärt sig att använda lösenord, brandväggar och virusskydd, och på så sätt skydda sig. IoT-systemen har inte samma mognad. Angripare behöver inte ens utnyttja säkerhetshål, eftersom systemen ofta står helt olåsta och det är en barnlek att ta kontrollen över dem.

För att rekrytera en persondator till ett botnet behöver en trojansk häst eller annan fientlig programvara installeras. Men för IoT-systemen behöver angriparen bara aktivera den funktionalitet som är inbyggd – logga in med standardlösenordet och börja skicka ut epost.

– Din dator är som en bil inlåst i garaget utan nycklar. Ditt uppkopplade system är som en olåst lastbil vid vägkanten med motorn igång som bara väntar på att få göra en leverans, skriver Proofpoint.

Exakt hur systemen kapades är inte känt. Men det skulle exempelvis räcka med att provkontakta dem via olika standardprotokoll och se var man blir insläppt.

För att undersöka identiteten på avsändarna säkerställde Proofpoint först att avsändarens IP-adress var äkta. Därefter kontaktades IP-adressen via telnet, ssh, http eller andra protokoll och responsen undersöktes.

En del system svarar direkt med tillverkare och identitet. Ibland hamnar man i bekant filstruktur. Ibland hittar man en fil som är systemuppdatering och talar om vilket system det handlar om. En del system är byggda för att styras över webben och visar upp sitt grafiska gränssnitt.

De kapade systemen kör typiskt Linux, främst Busybox, en populär distribution för inbyggda system. Systemen har ofta en webbserver – mini-httpd eller apache – som hanterar användargränssnittet.

Dreambox, VU Duo2 plus och Melita cable HD var några av de settopboxar som shanghajades att delta i attacken. Proofpoint tror – med viss reservation – att också spelkonsoler deltog – både Xbox, Playstation och Wii.

Att systemen tvingades att skicka spam är i sig illa. Men i och med att systemen kapats kan angriparen dessutom därefter göra vad den vill med dem. Exempelvis använda dem i en överbelastningsattack eller att bryta sig in andra datorer som kopplar upp sig mot de kapade IoT-systemen – egna eller företagets datorer.

Såvitt Proofpoint vet är systemen fortfarande kapade. För att få bort ett system ur botnätet måste det kopplas ner från Internet och uppgraderas med ny mjukvara.