Троян Linux.PNScan взламывает роутеры и устанавливает бэкдоры

Троян Linux.PNScan взламывает роутеры и устанавливает бэкдоры

Троян Linux.PNScan взламывает роутеры и устанавливает бэкдоры

Появившийся более года назад троян под Linux в очередной раз нацелен на маршрутизаторы и пытается установить бэкдоры. Linux.PNScan, вредонос, подробно изученный в прошлом году, атаковал устройства с архитектурами ARM, MIPS и PowerPC.

Теперь исследователи в области безопасности из Malware Must Die! говорят, что этот ELF-червь поражает системы x86 Linux. В прошлом году исследователи Doctor Web предположили, что троян устанавливался на маршрутизаторы, используя уязвимость ShellShock. Троян перебирает пароли брутфорсом и устанавливает на маршрутизаторы скрипт, который загружает бэкдор.

Вредонос, которого исследовали эксперты Malware Must Die! является вариацией оригинального трояна Linux.PNScan.1 и называется Linux.PNScan.2. В отличие от Linux.PNScan.1, который пытается взломать комбинации логина с помощью специального словаря, Linux.PNScan.2 нацелен на конкретные IP-адреса и пытается подключиться к ним через SSH , используя одну из следующих комбинаций: root,root; admin,admin; или ubnt,ubnt.

В процессе анализа исследователи Malware Must Die! обнаружили, что троян был сделан с использованием Toolchains и имеет совместимость с GCC(GNU) 4.1.x. Исследователи также обнаружили, что авторы вредоноса используют кросс параметр компилятора для i686 и включенную конфигурацию SSL.

После того, как зловред попал на устройство, он делится на 4 процесса (в дополнение к основному), создавая файлы на устройстве, прослушивая 2 TCP-порта. Червь также способен брутфорсить логины.

Отправляя запросы на twitter.com, Linux.PNScan может скрыть свой вредоносный трафик и мешают анализу. Сформированный вредоносный трафик невозможно отличить от легитимного.

По словам исследователей, вредонос активен уже в течение последних шести месяцев. Исследователи предполагают, что злоумышленники могут быть из России. 

Несмотря на то, вредонос не новый, важно повысить осведомленность об этой угрозе, говорят исследователи в области безопасности. Эксперты также отмечают, что зараженные маршрутизаторы имеют следы конкретных запущенных процессов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Хостинг-провайдеры поднимают цены со ссылкой на СОРМ

Российские хостинг-провайдеры запланировали на начало 2025 года повышение цен на свои услуги в среднем на 10%. Главным мотивом они называют исполнение требований по установке систем оперативно-разыскных мероприятий (СОРМ), которое распространили на данный сегмент год назад.

О соответствующем решении пишет «КоммерсантЪ». Увеличение цен колеблется от 5% до 15%. Помимо внедрения СОРМ, мотивом источники издания в отрасли также называют изменения в налогообложении, принятые в 2024 году.

«Сейчас затраты на программную СОРМ находятся в пределах 5-10 млн руб., если же речь идет о необходимости программно-аппаратной СОРМ, то к уже названной сумме добавляется "железо", на которое налагается ряд требований, в том числе о наличии сертификации», — прокомментировал генеральный директор RuVDS Никита Цаплин.

Основатель компании ITG Дмитрий Гачко добавил, что системы СОРМ также нуждаются в дополнительных каналах связи и кадрах для обслуживания, что увеличивает административную нагрузку и также сказывается на ценах.

В Минцифры изданию сообщили, что не получали жалоб на рост цен оборудования СОРМ со стороны операторов связи и провайдеров. Там обещали совместно с ФАС следить за ценами и проводить проверки при подозрениях на их повышение.

Генеральный директор производителя СОРМ «Норси-Транс» Сергей Овчинников назвал оценку, которая связывает рост цен на данный вид оборудования и повышение стоимости услуг хостинга некорректной. В 2024 году требования по установке данных систем компании только начали выполнять, и он не мог значимо повлиять на их издержки и соответственно ценообразование.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru