Новый червь атакует сетевые устройства для добычи криптовалюты

26 Марта, 2014 19:07
Корпорация Symantec обнаружила новую разновидность червя Linux.Darlloz, нацеленного на так называемый «Интернет вещей» (Internet of Things) роутеры и сет-топы (ресиверы цифрового телевидения). Специалисты обнаружили более 31 тысячу устройств, подключенных к Интернету и зараженных этим червем.

Кроме того, эксперты Symantec выяснили, что задача новой версии червя – добыча виртуальной валюты. Специалисты компании полагают, что вирусописатель продолжит совершенствовать данную вредоносную программу для повышения ее монетизации.

В ноябре прошлого года специалисты корпорации Symantec детектировали червь под названием Linux.Darlloz, зона поражения которого – «Интернет вещей» (Internet of Things): жертвой вредоносной программы являются компьютеры, построенные на архитектуре Intel x86, а также ARM, MIPS и Power PC, которые обычно встречаются в роутерах и сет-топах (ресиверы цифрового телевидения). В середине января этого года эксперты компании встретились с новой разновидностью этой программы. Судя по результатам анализа, автор червя постоянно совершенствует код и добавляет новые функции, особенно в плане монетизации вируса.

Специалисты Symantec выявили свыше 31 000 устройств, зараженных червем Linux.Darlloz.

Майнинг виртуальной валюты

Эксперты Symantec обнаружили, что задача данной версии червя – добыча (так называемый «майнинг») криптовалюты. Как только компьютер, построенный на архитектуре Intel, заражается новой версией вируса, червь устанавливает на систему cpuminer − программу для майнинга виртуальной валюты. Затем зараженный компьютер начинает осуществлять добычу одной из двух малопопулярных криптовалют− Mincoin или Dogecoin. К концу февраля 2014 года злоумышленнику удалось таким образом добыть 42438 Dogecoin (около $46 на момент написания) и 282 Mincoin (около $150 на момент написания). Это относительно небольшие суммы денег для киберпреступления, поэтому специалисты Symantec полагают, что вирусописатель продолжит совершенствовать свое детище для повышения его монетизации.

Эта новая функция активируется только на компьютерах с архитектурой Intel x86 и обходит стороной более слабые сетевые устройства. Это связано с тем, что майнинг требует значительных вычислительных ресурсов, которыми такие устройства не располагают.

Почему Mincoin и Dogecoin?

Зараженные вирусом устройства начинают осуществлять майнинг электронных валют под названием Mincoin и Dogecoin, вместо того чтобы заниматься самой популярной и самой ценной криптовалютой Bitcoin. Причина состоит в том, что Mincoin и Dogecoin используют алгоритм шифрования, позволяющий успешно осуществлять майнинг и на домашних компьютерах, в то время как для успешной и более быстрой добычи Bitcoin уже требуется ASIC чип.

Новые цели

Исходная версия Darlloz имела 9 комбинаций «логин − пароль» для роутеров и сет-топов. Последняя версия имеет 13 таких комбинаций, которые также работают и для IP-камер, обычно используемых для видеонаблюдения.

Почему атакуется именно «Интернет вещей»?

Суть «Интернета вещей» заключается в объединении между собой множества разнообразных устройств. В то время как большинство пользователей может обеспечить надежную защиту своего стационарного компьютера, многие из них и не подозревают о том, что другие устройства, подключенные к «Интернету вещей», также нуждаются в защите. В отличие от обычных компьютеров, многие такие устройства поставляются с уже установленными на них по умолчанию комбинациями «логин  –  пароль», а пользователи, в свою очередь, не удосуживаются их поменять. В результате, использование стандартных комбинаций логина и пароля – один из лучших способов взлома таких устройств. Многие из них содержат также уязвимости, о которых неизвестно пользователям.

На данный момент угроза направлена на компьютеры, роутеры, сет-топы и IP-камеры, однако в будущем в этот список могут войти и другие устройства, такие как, например, устройства−элементы «умного» дома и нательные компьютеры.

Распространение Darlloz в Интернете

Заразив устройство, Darlloz запускает веб-сервер на порте 58455, при помощи чего затем осуществляет самораспространение через Интернет. На сервере размещаются файлы вируса, которые загружаются на компьютер любого, кто подаст запрос HTTP GET по этому адресу. Исходя из того, что Darlloz можно скачать, в Symantec попытались собрать интернет-отпечатки серверов, на которых он был размещен. В результате были получены следующие данные:

  • было обнаружено 31 716 IP-адресов, зараженных червем Darlloz;
  • атаке подверглись компьютеры и устройства в 139 точках земли;
  • с зараженных IP-адресов было собрано 449 «отпечатков»ОС;
  • 43% жертв Darlloz – это компьютеры на основе процессоров Intel и серверы под управлением Linux;
  • 38% устройств, зараженных Darlloz, – это различные сетевые устройства, включая роутеры, сет-топы, IP-камеры и принтеры.
symacnec

Рис. 1. Пятерка основных регионов заражения Darlloz

Пять основных регионов заражения червем Darlloz (в сумме половина от общего числа заражений) – это Китай, США, Южная Корея, Тайвань и Индия. Такое распределение, вероятно, связано с числом интернет-пользователей в этих регионах, а также с распространением там сетевых устройств.

Зараженные сетевые устройства

Многие пользователи и не подозревают, что их сетевые устройства могут стать объектами атаки. Именно поэтому за четыре месяца червю удалось заразить 31 000 компьютеров и сетевых устройств, и эта цифра растет. Очевидно, что автор Darlloz будет и дальше совершенствовать свое детище, снабжая его все новыми возможностями, по мере того как будет меняться среда. Специалисты Symantec продолжат следить за этой угрозой.

Меры предосторожности

  • Устанавливайте последние патчи на все ПО для ваших компьютеров и сетевых устройств;
  • Обновляйте прошивки всех устройств;
  • Заменяйте стандартные пароли на свои собственные;
  • За исключением случаев необходимости, блокируйте внешний доступ к портам 23 и 80.

Комментарии: