Корпорация Symantec обнаружила новую разновидность червя Linux.Darlloz, нацеленного на так называемый «Интернет вещей» (Internet of Things) – роутеры и сет-топы (ресиверы цифрового телевидения).
Специалисты обнаружили более 31 000 устройств, подключенных к Интернету и зараженных этим червем. Кроме того, эксперты Symantec выяснили, что задача новой версии червя – добыча виртуальной валюты. Специалисты компании полагают, что вирусописатель продолжит совершенствовать данную вредоносную программу для повышения ее монетизации.
В ноябре прошлого года специалисты корпорации Symantec обнаружили червь под названием Linux.Darlloz, зона поражения которого – «Интернет вещей» (Internet of Things): жертвой вредоносной программы являются компьютеры, построенные на архитектуре Intel x86, а также ARM, MIPS и Power PC, которые обычно встречаются в роутерах и сет-топах (ресиверы цифрового телевидения). В середине января этого года эксперты компании встретились с новой разновидностью этой программы. Судя по результатам анализа, автор червя постоянно совершенствует код и добавляет новые функции, особенно в плане монетизации вируса.
Специалисты Symantec обнаружили более 31 000 устройств, зараженных червем Linux.Darlloz.
Эксперты Symantec обнаружили, что задача данной версии червя – добыча (так называемый «майнинг») криптовалюты. Как только компьютер, построенный на архитектуре Intel, заражается новой версией вируса, червь устанавливает на систему cpuminer − программу для майнинга виртуальной валюты. Затем зараженный компьютер начинает осуществлять добычу одной из двух малопопулярных криптовалют− Mincoin или Dogecoin. К концу февраля 2014 года злоумышленнику удалось таким образом добыть 42438 Dogecoin (около $46 на момент написания) и 282 Mincoin (около $150 на момент написания). Это относительно небольшие суммы денег для киберпреступления, поэтому специалисты Symantec полагают, что вирусописатель продолжит совершенствовать свое детище для повышения его монетизации.
Эта новая функция активируется только на компьютерах с архитектурой Intel x86 и обходит стороной более слабые сетевые устройства. Это связано с тем, что майнинг требует значительных вычислительных ресурсов, которыми такие устройства не располагают.
Зараженные вирусом устройства начинают осуществлять майнинг электронных валют под названием Mincoin и Dogecoin, вместо того чтобы заниматься самой популярной и самой ценной криптовалютой Bitcoin. Причина состоит в том, что Mincoin и Dogecoin используют алгоритм шифрования, позволяющий успешно осуществлять майнинг и на домашних компьютерах, в то время как для успешной и более быстрой добычи Bitcoin уже требуется ASIC чип.
Исходная версия Darlloz имела 9 комбинаций «логин − пароль» для роутеров и сет-топов. Последняя версия имеет 13 таких комбинаций, которые также работают и для IP-камер, обычно используемых для видеонаблюдения.
Суть «Интернета вещей» заключается в объединении между собой множества разнообразных устройств. В то время как большинство пользователей может обеспечить надежную защиту своего стационарного компьютера, многие из них и не подозревают о том, что другие устройства, подключенные к «Интернету вещей», также нуждаются в защите. В отличие от обычных компьютеров, многие такие устройства поставляются с уже установленными на них по умолчанию комбинациями «логин - пароль», а пользователи, в свою очередь, не удосуживаются их поменять. В результате, использование стандартных комбинаций логина и пароля – один из лучших способов взлома таких устройств. Многие из них содержат также уязвимости, о которых неизвестно пользователям.
На данный момент угроза направлена на компьютеры, роутеры, сет-топы и IP-камеры, однако в будущем в этот список могут войти и другие устройства, такие как, например, устройства−элементы «умного» дома и нательные компьютеры.
Как эксперты Symantec писали в предыдущей публикации, червь не дает другим вирусам, таким как, например, Linux.Aidra, атаковать устройства, уже зараженные Linux.Darlloz. Автор этой вредоносной программы включил эту функцию в первую версию червя, появившуюся в ноябре 2013 года.
В начале ноября поступали сообщения о существовании некого бэкдора на ряде роутеров. Используя этот бэкдор, злоумышленники могли удаленно получать доступ к роутеру и заражать сеть. Автор Darlloz воспринял это как угрозу, в результате чего, заражая роутер, червь стал создавать в межсетевом фильтре новое правило, блокирующее порт для этого бэкдора, тем самым блокируя доступ другим злоумышленникам.
Заразив устройство, Darlloz запускает веб-сервер на порте 58455, при помощи чего затем осуществляет самораспространение через Интернет. На сервере размещаются файлы вируса, которые загружаются на компьютер любого, кто подаст запрос HTTP GET по этому адресу. Мы искали статичные IP-адреса, где был открыт этот порт и где были размещены файлы Darlloz. Исходя из того, что Darlloz можно скачать, мы попытались собрать интернет-отпечатки серверов, на которых он был размещен.