Червь атакует сетевые устройства для добычи криптовалюты

В ноябре прошлого года специалисты корпорации Symantec обнаружили червь под названием Linux.Darlloz, зона поражения которого – «Интернет вещей» (Internet of Things): жертвой вредоносной программы являются компьютеры, построенные на архитектуре Intel x86, а также ARM, MIPS и Power PC, которые обычно встречаются в роутерах и сет-топах (ресиверы цифрового телевидения). В середине января этого года эксперты компании встретились с новой разновидностью этой программы. Судя по результатам анализа, автор червя постоянно совершенствует код и добавляет новые функции, особенно в плане монетизации вируса.

Специалисты Symantec обнаружили более 31 000 устройств, зараженных червем Linux.Darlloz.

Майнинг виртуальной валюты

Эксперты Symantec обнаружили, что задача данной версии червя – добыча (так называемый «майнинг») криптовалюты. Как только компьютер, построенный на архитектуре Intel, заражается новой версией вируса, червь устанавливает на систему cpuminer − программу для майнинга виртуальной валюты. Затем зараженный компьютер начинает осуществлять добычу одной из двух малопопулярных криптовалют− Mincoin или Dogecoin. К концу февраля 2014 года злоумышленнику удалось таким образом добыть 42438 Dogecoin (около $46 на момент написания) и 282 Mincoin (около $150 на момент написания). Это относительно небольшие суммы денег для киберпреступления, поэтому специалисты Symantec полагают, что вирусописатель продолжит совершенствовать свое детище для повышения его монетизации.

Эта новая функция активируется только на компьютерах с архитектурой Intel x86 и обходит стороной более слабые сетевые устройства. Это связано с тем, что майнинг требует значительных вычислительных ресурсов, которыми такие устройства не располагают.

Почему Mincoin и Dogecoin?

Зараженные вирусом устройства начинают осуществлять майнинг электронных валют под названием Mincoin и Dogecoin, вместо того чтобы заниматься самой популярной и самой ценной криптовалютой Bitcoin. Причина состоит в том, что Mincoin и Dogecoin используют алгоритм шифрования, позволяющий успешно осуществлять майнинг и на домашних компьютерах, в то время как для успешной и более быстрой добычи Bitcoin уже требуется ASIC чип.

Новые цели

Исходная версия Darlloz имела 9 комбинаций «логин − пароль» для роутеров и сет-топов. Последняя версия имеет 13 таких комбинаций, которые также работают и для IP-камер, обычно используемых для видеонаблюдения.

Почему атакуется именно «Интернет вещей»?

Суть «Интернета вещей» заключается в объединении между собой множества разнообразных устройств. В то время как большинство пользователей может обеспечить надежную защиту своего стационарного компьютера, многие из них и не подозревают о том, что другие устройства, подключенные к «Интернету вещей», также нуждаются в защите. В отличие от обычных компьютеров, многие такие устройства поставляются с уже установленными на них по умолчанию комбинациями «логин - пароль», а пользователи, в свою очередь, не удосуживаются их поменять. В результате, использование стандартных комбинаций логина и пароля – один из лучших способов взлома таких устройств. Многие из них содержат также уязвимости, о которых неизвестно пользователям.

На данный момент угроза направлена на компьютеры, роутеры, сет-топы и IP-камеры, однако в будущем в этот список могут войти и другие устройства, такие как, например, устройства−элементы «умного» дома и нательные компьютеры.

Защита от других атак

Как эксперты Symantec писали в предыдущей публикации, червь не дает другим вирусам, таким как, например, Linux.Aidra, атаковать устройства, уже зараженные Linux.Darlloz. Автор этой вредоносной программы включил эту функцию в первую версию червя, появившуюся в ноябре 2013 года.

В начале ноября поступали сообщения о существовании некого бэкдора на ряде роутеров. Используя этот бэкдор, злоумышленники могли удаленно получать доступ к роутеру и заражать сеть. Автор Darlloz воспринял это как угрозу, в результате чего, заражая роутер, червь стал создавать в межсетевом фильтре новое правило, блокирующее порт для этого бэкдора, тем самым блокируя доступ другим злоумышленникам.

Распространение Darlloz в Интернете

Заразив устройство, Darlloz запускает веб-сервер на порте 58455, при помощи чего затем осуществляет самораспространение через Интернет. На сервере размещаются файлы вируса, которые загружаются на компьютер любого, кто подаст запрос HTTP GET по этому адресу. Мы искали статичные IP-адреса, где был открыт этот порт и где были размещены файлы Darlloz. Исходя из того, что Darlloz можно скачать, мы попытались собрать интернет-отпечатки серверов, на которых он был размещен. Мы получили следующие данные:

• было обнаружено 31 716 IP-адресов, зараженных червем Darlloz;
• атаке подверглись компьютеры и устройства в 139 точках земли;
• с зараженных IP-адресов было собрано 449 «отпечатков»ОС;
• 43% жертв Darlloz – это компьютеры на основе процессоров Intel и серверы под управлением Linux;
• 38% устройств, зараженных Darlloz, – это различные сетевые устройства, включая роутеры, сет-топы, IP-камеры и принтеры.

Пять основных регионов заражения червем Darlloz (в сумме половина от общего числа заражений) – это Китай, США, Южная Корея, Тайвань и Индия. Такое распределение, вероятно, связано с числом интернет-пользователей в этих регионах, а также с распространением там сетевых устройств.

Зараженные сетевые устройства

Многие пользователи и не подозревают, что их сетевые устройства могут стать объектами атаки. Именно поэтому за четыре месяца червю удалось заразить 31 000 компьютеров и сетевых устройств, и эта цифра растет. Мы полагаем, что автор Darlloz будет и дальше совершенствовать свое детище, снабжая его все новыми возможностями, по мере того как будет меняться среда. Специалисты Symantec продолжат следить за этой угрозой.

Меры предосторожности

• Устанавливайте последние патчи на все ПО для ваших компьютеров и сетевых устройств;
• Обновляйте прошивки всех устройств;
• Заменяйте стандартные пароли на свои собственные;
• За исключением случаев необходимости, блокируйте внешний доступ к портам 23 и 80.