Сетевые черви для добычи криптовалюты
Совсем недавно специалисты всемирно известной корпорации Symantec сделали сенсационное открытие — они обнаружили совершенно новую разновидность червя-трояна под названием Linux.Darlloz. Данный червь нацелен на так называемый Internet of Things («Интернет вещей»). Говоря проще, объектами атаки данной разновидности вируса являются разного рода сет-топы, роутеры и IP-камеры и ресиверы цифрового телевидения. Специалистам удалось обнаружить более 32500 устройств, которые на данный момент подключены к Интернету и уже заражены данным червем. Также, эксперты Symantec сумели выяснить, что основная цель нового типа червя — это добыча криптовалюты (виртуальной валюты в сети Интернет).
Так, жертвами вредоносной программы являются любые компьютеры, которые построены на архитектуре Intel x86, MIPS, ARM и Power PC. Такие компьютеры, как правило, встречаются в устройствах совершенно разного рода, но особенно их много в ресиверах цифрового телевидения. Новая разновидность этой программы, с которой встретились эксперты компании, уже является значительно более совершенной и ее код добавляет ей ряд новых функций, особенно в сфере монетизации.
Майнинг виртуальной валюты
Как выяснили эксперты Symantec, принцип работы новой версии червя в сфере «майнинга» криптовалют достаточно прост: сразу после того, как компьютер, который построен на архитектуре Intel, «подхватывает» новую версию вируса, последний устанавливает в системе программу, которая известна как cpuminer, и производит «майнинг» виртуальной валюты. После установки программы, зараженный компьютер сразу же начинает осуществлять добычу исключительно одной из двух малопопулярных среди пользователей криптовалют — Dogecoin или же Mincoin. К концу марта 2014-го года злоумышленники смогли таким образом получить около 43000 Dogecoin (приблизительно 47 долларов США) и около 300 Mincoin (приблизительно 151 долларов США). Стоит отметить, что эти суммы денег относительно небольшие для масштабного киберпреступления, вот почему специалисты Symantec уверены, что авторы продолжат совершенствование вредоносной программы. Также достоверно известно, что новая функция (добыча валюты) активируется исключительно на компьютерах, построенных на архитектуре Intel x86, при этом обходя стороной слабые сетевые устройства. Это закономерно, поскольку для «майнинга» необходимы значительные вычислительные ресурсы, которыми относительно слабые устройства не располагают.
Но почему вирус «майнит» только Mincoin или Dogecoin, вместо того чтобы начать заниматься самой ценной и популярной криптовалютой, известной как Bitcoin? Причина этому также достаточно понятна. Все дело в том, что Dogecoin и Mincoin используют такой алгоритм шифрования, который позволяет успешно заниматься «майнингом» даже на домашних компьютерах. Стоит отметить, что для быстрой и успешной добычи Bitcoin на сегодняшний день необходим чип ASIC.
Также экспертами установлено, что начальная версия вируса Darlloz имела порядка 9-ти комбинаций типа «пароль-логин» для сет-топов и роутеров. Последняя же версия обладает уже 13-ю такими комбинациями, которые на сегодняшний день работают и с IP-камерами, которые как правило используются разными организациями для организации видеонаблюдения.
Атака «Интернета вещей» и защита от других атак
«Интернет вещей» основан на своеобразном объединении множества разного рода устройств в единую «сеть». Сегодня большинство пользователей способно обеспечить надежную комплексную защиту стационарного персонального компьютера, но многие из них даже не подозревают о том, что другим важным устройствам, которые подключены к Интернету, также необходима серьезная защита. Ряд таких устройств, в отличие от привычных всем компьютеров, уже поставляется с предустановленными на них по умолчанию секретными комбинациями «логин — пароль», которые большинство пользователей даже не пытаются поменять. Результат использования стандартных (заводских) комбинаций пароля и логина — прекрасный способ взлома данных устройств. Стоит отметить, что многие из таких устройств изначально содержат разного рода уязвимости, о которых обычным пользователям просто неизвестно.
Эксперты Symantec утверждают, что данный червь не дает другим вирусам, таким как, например, Linux.Aidra, производить атаку на устройства, им уже зараженные. Автор этой вредоносной программы изначально установил и включил такую функцию в самую первую версию своей программы, которая появилась еще в ноябре 2013-го года и на тот момент не была так опасна. В самом начале ноября было установлено, что в некоторых роутерах существует так называемый «бэкдор», используя который злоумышленники достаточно просто могут удаленно получать доступ. Авторы же Darlloz посчитали это угрозой. Как результат, заражая роутер, вирус первым делом создает в специальном межсетевом фильтре новое правило, которое сразу же блокирует порт для вышеупомянутого «бэкдора», что не дает доступа к роутеру другим злоумышленникам.
Распространение в Интернете
Заразив устройство, «качественно» обновленный Darlloz тут же запускает специальный веб-сервер на порте под номером 58455, при помощи которого затем успешно осуществляет автоматическое распространение посредством Интернета. На самом же сервере размещены файлы этого вируса, которые способны загружаться на компьютер любого пользователя, кто подает запрос типа HTTP GET по данному адресу. Специалисты провели поиск статичных IP-адресов, где данный порт был открыт и где, соответственно, размещены файлы Darlloz. Базируясь на том, что Darlloz можно скачать, специалисты попробовали собрать так называемые «интернет-отпечатки» серверов, где он размещался. Таким образом было установлены следующие данные:
- обнаружено 32816 IP-адресов, которые заражены червем Darlloz;
- с этих зараженных IP-адресов было собрано 453 «отпечатка» операционных систем;
- атаке червя уже подверглись устройства и компьютеры, которые находятся в 139-ти точках планеты;
- 44% жертв вируса — компьютеры, «основанные» на процессорах Intel и серверы, управляемые ОС Linux;
- 38% жертв вируса — разного рода сетевые устройства, в состав которых, кроме вышеуказанных, входят уже и сетевые принтеры;
- 5 основных регионов, которые подверглись заражению червем (приблизительно половина от всех заражений) — это США, Китай, Тайвань, Южная Корея и Индия.
Скорее всего, авторы будут совершенствовать Darlloz, наделяя его новыми возможностями в зависимости от того, как как именно будет меняться среда и регионы его распространения. Специалисты корпорации Symantec продолжают внимательно следить за данной угрозой.
Необходимые меры предосторожности
Для того, чтобы существенно снизить риск заражения этим новым типом вируса, необходимо сделать несколько простых вещей:
- установить последние версии «патчей» на все программное обеспечение для всех ваших сетевых устройств и компьютеров;
- регулярно следить за прошивками для всех устройств и обновлять их;
- обязательно заменять стандартные заводские пароли на свои собственные (которые также стоит время от времени менять);
- блокировать внешний доступ к сетевым портам 80 и 23 в случае, если нет необходимости в их использовании.