Menu

Черв'як атакує мережеві пристрої для видобутку кріптовалюти

Корпорація Symantec виявила нову різновид хробака Linux.Darlloz, націленого на так званий «Інтернет речей» (Internet of Things) - роутери і сет-топ (ресівери цифрового телебачення). Фахівці виявили понад 31 000 пристроїв, підключених до Інтернету і заражених цим хробаком. Крім того, експерти Symantec з'ясували, що завдання нової версії хробака - видобуток віртуальної валюти. Фахівці компанії вважають, що вирусописатель продовжить удосконалювати цю шкідливу програму для підвищення її монетизації.

Червь атакует сетевые устройства для добычи криптовалюты

У листопаді минулого року фахівці Symantec виявили черв'як під назвою Linux.Darlloz, зона ураження якого - «Інтернет речей» (Internet of Things): жертвою шкідливої програми є комп'ютери, побудовані на архітектурі Intel x86, ARM, MIPS і Power PC, які зазвичай зустрічаються в роутерах і сет-топ (ресівери цифрового телебачення). В середині січня цього року експерти компанії зустрілися з новим різновидом цієї програми. Судячи за результатами аналізу, автор хробака постійно вдосконалює код і додає нові функції, особливо в плані монетизації вірусу.

Фахівці Symantec виявили понад 31 000 пристроїв, заражених хробаком Linux.Darlloz.

Майнінг віртуальної валюти

Експерти Symantec виявили, що завдання даної версії хробака - видобуток (так званий «майнінг») кріптовалюти. Як тільки комп'ютер, побудований на архітектурі Intel, заражається новою версією вірусу, хробак встановлює на систему cpuminer - програму для майнінг віртуальної валюти. Потім заражений комп'ютер починає здійснювати видобуток однієї з двох малопопулярних криптовалют - Mincoin або Dogecoin. До кінця лютого 2014 року зловмиснику вдалося таким чином добути 42438 Dogecoin (близько $46 на момент написання) і 282 Mincoin (близько $150 на момент написання). Це відносно невеликі суми грошей для кіберзлочини, тому фахівці Symantec вважають, що вирусописатель продовжить удосконалювати своє дітище для підвищення його монетизації.

Ця нова функція активується тільки на комп'ютерах з архітектурою Intel x86 і обходить стороною більш слабкі мережеві пристрої. Це пов'язано з тим, що майнінг вимагає значних обчислювальних ресурсів, якими такі пристрої не мають.

Чому Mincoin і Dogecoin?

Заражені вірусом пристрої починають здійснювати майнінг електронних валют під назвою Mincoin і Dogecoin, замість того щоб займатися найпопулярнішою і найціннішою криптовалютой Bitcoin. Причина полягає в тому, що Mincoin і Dogecoin використовують алгоритм шифрування, що дозволяє успішно здійснювати майнінг і на домашніх комп'ютерах, в той час як для успішної і більш швидкої видобутку Bitcoin вже потрібно ASIC чіп.

Нові цілі

Вихідна версія Darlloz мала 9 комбінацій «логін - пароль» для роутерів і сет-топів. Остання версія має 13 таких комбінацій, які також працюють і для IP-камер, зазвичай використовуваних для відеоспостереження.

Чому атакується саме «Інтернет речей»?

Суть «Інтернету речей» полягає в об'єднанні між собою безлічі різноманітних пристроїв. У той час як більшість користувачів може забезпечити надійний захист свого стаціонарного комп'ютера, багато хто з них і не підозрюють про те, що інші пристрої, підключені до «Інтернету речей», також потребують захисту. На відміну від звичайних комп'ютерів, багато такі пристрої поставляються з вже встановленими на них за замовчуванням комбінаціями «логін - пароль», а користувачі, в свою чергу, не спромагаються їх поміняти. В результаті, використання стандартних комбінацій логіна та пароля - один з кращих способів злому таких пристроїв. Багато з них містять також уразливості, про яких невідомо користувачам.

На даний момент загроза спрямована на комп'ютери, роутери, сет-топ і IP-камери, проте в майбутньому в цей список можуть увійти й інші пристрої, такі як, наприклад, пристрої-елементи «розумного» будинку і натільні комп'ютери.

Захист від інших атак

Як експерти Symantec писали раніше, черв'як не дає іншим вірусам, таким як, наприклад, Linux.Aidra, атакувати пристрою, вже заражені Linux.Darlloz. Автор цієї шкідливої програми увімкнув цю функцію в першу версію хробака, що з'явилася в листопаді 2013 року.

На початку листопада надходили повідомлення про існування якогось бекдор на ряді роутерів. Використовуючи цей бекдор, зловмисники могли дистанційно отримувати доступ до роутера і заражати мережу. Автор Darlloz сприйняв це як загрозу, в результаті чого, заражаючи роутер, хробак став створювати в брандмауері фільтрі нове правило, яке блокує порт для цього бекдор, тим самим блокуючи доступ іншим зловмисникам.

Поширення Darlloz в Інтернеті

Заразивши пристрій, Darlloz запускає веб-сервер на порте 58455, за допомогою чого потім здійснює самораспространение через Інтернет. На сервері розміщуються файли вірусу, які завантажуються на комп'ютер будь-якого, хто подасть запит HTTP GET за цією адресою. Ми шукали статичні IP-адреси, де був відкритий цей порт і де були розміщені файли Darlloz. Виходячи з того, що Darlloz можна скачати, ми спробували зібрати інтернет-відбитки серверів, на яких він був розміщений. Ми отримали наступні дані:

  • було виявлено 31 716 IP-адрес, заражених хробаком Darlloz;
  • атаці піддалися комп'ютери та пристрої в 139 точках землі;
  • з заражених IP-адрес було зібрано 449 «відбитків»ОС;
  • 43% жертв Darlloz - це комп'ютери на основі процесорів Intel і сервери під управлінням Linux;
  • 38% пристроїв, заражених Darlloz, - це різні мережеві пристрої, включаючи роутери, сет-топ, IP-камери і принтери.

П'ять основних регіонів зараження черв'яком Darlloz (в сумі половина від загального числа заражень) - це Китай, США, Південна Корея, Тайвань та Індія. Такий розподіл, ймовірно, пов'язано з числом інтернет-користувачів в цих регіонах, а також з поширенням там мережевих пристроїв.

Заражені мережеві пристрої

Багато користувачів не підозрюють, що їх мережеві пристрої можуть стати об'єктами атаки. Саме тому за чотири місяці черв'якові вдалося заразити 31 000 комп'ютерів і мережевих пристроїв, і ця цифра зростає. Ми вважаємо, що автор Darlloz буде і далі вдосконалювати своє дітище, постачаючи його все новими можливостями, у міру того як буде змінюватися середовище. Фахівці Symantec продовжать стежити за цією загрозою.

Запобіжні заходи

  • Встановлюйте останні патчі на все ЗА для ваших комп'ютерів і мережевих пристроїв;
  • Оновлюйте прошивки всіх пристроїв;
  • Замінюйте стандартні паролі на свої власні;
  • За винятком випадків необхідності, блокуйте зовнішній доступ до портів 23 і 80.
Додатково Віджет від SocialMart
|