Червь атакует сетевые устройства для добычи криптовалюты

Червь атакует сетевые устройства для добычи криптовалюты

Корпорация Symantec обнаружила новую разновидность червя Linux.Darlloz, нацеленного на так называемый «Интернет вещей» (Internet of Things) роутеры и сет-топы (ресиверы цифрового телевидения). Специалисты обнаружили более 31 000 устройств, подключенных к Интернету и зараженных этим червем.

Кроме того, эксперты Symantec выяснили, что задача новой версии червя – добыча виртуальной валюты. Специалисты компании полагают, что вирусописатель продолжит совершенствовать данную вредоносную программу для повышения ее монетизации.

В ноябре прошлого года специалисты корпорации Symantec обнаружили червь под названием Linux.Darlloz, зона поражения которого – «Интернет вещей» (Internet of Things): жертвой вредоносной программы являются компьютеры, построенные на архитектуре Intel x86, а также ARM, MIPS и Power PC, которые обычно встречаются в роутерах и сет-топах (ресиверы цифрового телевидения). В середине января этого года эксперты компании встретились с новой разновидностью этой программы. Судя по результатам анализа, автор червя постоянно совершенствует код и добавляет новые функции, особенно в плане монетизации вируса.

Специалисты Symantec обнаружили более 31 000 устройств, зараженных червем Linux.Darlloz.

Майнинг виртуальной валюты

Эксперты Symantec обнаружили, что задача данной версии червя – добыча (так называемый «майнинг») криптовалюты. Как только компьютер, построенный на архитектуре Intel, заражается новой версией вируса, червь устанавливает на систему cpuminer − программу для майнинга виртуальной валюты. Затем зараженный компьютер начинает осуществлять добычу одной из двух малопопулярных криптовалют− Mincoin или Dogecoin. К концу февраля 2014 года злоумышленнику удалось таким образом добыть 42438 Dogecoin (около $46 на момент написания) и 282 Mincoin (около $150 на момент написания). Это относительно небольшие суммы денег для киберпреступления, поэтому специалисты Symantec полагают, что вирусописатель продолжит совершенствовать свое детище для повышения его монетизации.

Эта новая функция активируется только на компьютерах с архитектурой Intel x86 и обходит стороной более слабые сетевые устройства. Это связано с тем, что майнинг требует значительных вычислительных ресурсов, которыми такие устройства не располагают.

Почему Mincoin и Dogecoin?

Зараженные вирусом устройства начинают осуществлять майнинг электронных валют под названием Mincoin и Dogecoin, вместо того чтобы заниматься самой популярной и самой ценной криптовалютой Bitcoin. Причина состоит в том, что Mincoin и Dogecoin используют алгоритм шифрования, позволяющий успешно осуществлять майнинг и на домашних компьютерах, в то время как для успешной и более быстрой добычи Bitcoin уже требуется ASIC чип.

Новые цели

Исходная версия Darlloz имела 9 комбинаций «логин − пароль» для роутеров и сет-топов. Последняя версия имеет 13 таких комбинаций, которые также работают и для IP-камер, обычно используемых для видеонаблюдения.

Почему атакуется именно «Интернет вещей»?

Суть «Интернета вещей» заключается в объединении между собой множества разнообразных устройств. В то время как большинство пользователей может обеспечить надежную защиту своего стационарного компьютера, многие из них и не подозревают о том, что другие устройства, подключенные к «Интернету вещей», также нуждаются в защите. В отличие от обычных компьютеров, многие такие устройства поставляются с уже установленными на них по умолчанию комбинациями «логин - пароль», а пользователи, в свою очередь, не удосуживаются их поменять. В результате, использование стандартных комбинаций логина и пароля – один из лучших способов взлома таких устройств. Многие из них содержат также уязвимости, о которых неизвестно пользователям.

На данный момент угроза направлена на компьютеры, роутеры, сет-топы и IP-камеры, однако в будущем в этот список могут войти и другие устройства, такие как, например, устройства−элементы «умного» дома и нательные компьютеры.

Защита от других атак

Как эксперты Symantec писали в предыдущей публикации, червь не дает другим вирусам, таким как, например, Linux.Aidra, атаковать устройства, уже зараженные Linux.Darlloz. Автор этой вредоносной программы включил эту функцию в первую версию червя, появившуюся в ноябре 2013 года.

В начале ноября поступали сообщения о существовании некого бэкдора на ряде роутеров. Используя этот бэкдор, злоумышленники могли удаленно получать доступ к роутеру и заражать сеть. Автор Darlloz воспринял это как угрозу, в результате чего, заражая роутер, червь стал создавать в межсетевом фильтре новое правило, блокирующее порт для этого бэкдора, тем самым блокируя доступ другим злоумышленникам.

Распространение Darlloz в Интернете

Заразив устройство, Darlloz запускает веб-сервер на порте 58455, при помощи чего затем осуществляет самораспространение через Интернет. На сервере размещаются файлы вируса, которые загружаются на компьютер любого, кто подаст запрос HTTP GET по этому адресу. Мы искали статичные IP-адреса, где был открыт этот порт и где были размещены файлы Darlloz. Исходя из того, что Darlloz можно скачать, мы попытались собрать интернет-отпечатки серверов, на которых он был размещен. Мы получили следующие данные:

  • было обнаружено 31 716 IP-адресов, зараженных червем Darlloz;
  • атаке подверглись компьютеры и устройства в 139 точках земли;
  • с зараженных IP-адресов было собрано 449 «отпечатков»ОС;
  • 43% жертв Darlloz – это компьютеры на основе процессоров Intel и серверы под управлением Linux;
  • 38% устройств, зараженных Darlloz, – это различные сетевые устройства, включая роутеры, сет-топы, IP-камеры и принтеры.

Пять основных регионов заражения червем Darlloz (в сумме половина от общего числа заражений) – это Китай, США, Южная Корея, Тайвань и Индия. Такое распределение, вероятно, связано с числом интернет-пользователей в этих регионах, а также с распространением там сетевых устройств.

Зараженные сетевые устройства

Многие пользователи и не подозревают, что их сетевые устройства могут стать объектами атаки. Именно поэтому за четыре месяца червю удалось заразить 31 000 компьютеров и сетевых устройств, и эта цифра растет. Мы полагаем, что автор Darlloz будет и дальше совершенствовать свое детище, снабжая его все новыми возможностями, по мере того как будет меняться среда. Специалисты Symantec продолжат следить за этой угрозой. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Александр Осипов занял пост директора по продуктовому портфелю RED Security

RED Security объявила о назначении Александра Осипова директором по продуктовому портфелю компании. Александр Осипов обладает более чем 10-летним опытом работы в отрасли информационных технологий и кибербезопасности.

До прихода в RED Security он пять лет возглавлял направление облачных и инфраструктурных решений оператора «Мегафон».

Александр Осипов начал карьеру в ИТ в 2013 году. Он начал с позиции менеджера по маркетингу российского провайдера облачных сервисов NGENIX. Затем участвовал в запуске и развитии ИТ- и ИБ-сервисов NGENIX.

В 2017 году Александр перешел в «Мегафон», где начал заниматься развитием платформенных решений для корпоративного бизнеса. В «Мегафоне» Осипов начинал с должности специалиста по продуктам в сфере сетевых технологий и кибербезопасности, а покинул компанию директором по облачным и инфраструктурным решениям.

В этой роли Александр отвечал за продуктовую стратегию «Мегафона» в сегментах облачных продуктов, сервисов кибербезопасности, сетевых и IoT-решений для коммерческого и государственного сектора.

Под руководством Александра Осипова в «Мегафоне» были успешно запущены и выведены на как минимум безубыточность платформа «МегаФон Облако», сервисы центра мониторинга и реагирования на кибератаки (SOC), управляемые сервисы кибербезопасности (MSS) и другие решения компании сферы ИТ и ИБ. Эти сервисы были отмечены отраслевыми премиями, включая Digital Leaders Award и «Большая цифра».

В RED Security Александр Осипов будет отвечать за управление портфелем продуктов, технологическое сопровождение и развитие сервисов, причем как новых решений, так и модернизация уже имеющихся в соответствии с требованиями рынка.

«Александр обладает многолетним опытом управления продуктовым портфелем по кибербезопасности в крупнейших российских компаниях. Он ориентируется на создание комплексного предложения в сфере защиты от киберугроз, опираясь при этом как на мировые технологические тренды, так и на актуальные потребности российских заказчиков из корпоративного сегмента. Мы рады приветствовать Александра в нашей команде и уверены, что его опыт поможет компании реализовать стратегию по формированию открытой экосистемы ИБ-решений и экспертизы для надёжной защиты бизнеса. Кроме того, успех направлений кибербезопасности, за которые Александр отвечал в других компаниях, подтверждает, что он сможет достичь амбициозных целей RED Security по достижению высочайшего уровня наших сервисов», – подчеркнул Иван Вассунов, генеральный директор компании RED Security.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru