Informasjon om Silex-kampanje

Publisert: 27.06.2019

Det er viktig å merke seg at Silex gjennom sine kapabiliteter også har muligheten til å ødelegge Linux-servere dersom serveren har åpne Telnet-porter med svakt passord.

løpet av det siste døgnet har det blitt skrevet mye om en ny skadevare, kalt Silex [1][2], som sletter alt av fastvare på IoT-enheter. Skadevaren kan minne om en gammel versjon av BrickerBot som ødelagte millioner av enheter i 2017. Tallet på infiserte enheter var tidligere oppe i 2000 enheter og det antas at antallet vil fortsette å stige.

For å få tilgang til systemet benytter Silex standard påloggingsdetaljer for IoT-enheter. Deretter overskriver Silex IoT-enhetens lagring ved å skrive tilfeldig data til tilkoblede lagringsenheter og partisjoner. I tillegg fjernes eksisterende brannmurregler og det opprettes nye DROP-regler på all trafikk. For å få liv i IoT-enheten igjen, må en manuelt reinstallere enhetens fastvare.

Det er viktig å merke seg at Silex gjennom sine kapabiliteter også har muligheten til å ødelegge Linux-servere dersom serveren har åpne Telnet-porter med svakt passord. Det skal også være planlagt å legge til støtte for pålogging via SSH.

Vi ønsker først og fremst å sende ut dette varselet som et OBS-varsel, men også for å be alle systemadministratorer om å undersøke virksomhetens Internetteksponerte Linux-servere for åpne Telnet-porter. Det anbefales at disse ikke er åpne med mindre det er særskilte behov for bruk av disse, og at det i så tilfelle benyttes sterke passord og/eller andre sikringsmekanismer.

Vi i NSM NorCERT anbefaler også at IoT-enheter plasseres i egne segregerte nettverk og at tilgang til/fra Internett og interne tjenester kontrolleres strengt.

Vi er per nå ikke kjent med vellykkede angrep fra Silex mot enheter i Norge. 

Referanser:

  1. https://www.zdnet.com/article/new-silex-malware-is-bricking-iot-devices-has-scary-plans/
  2. https://twitter.com/_larry0/status/1143532888538984448