r   e   k   l   a   m   a
r   e   k   l   a   m   a

Ten łoś żywi się routerami, by zarabiać na marketingu w sieciach społecznościowych

Strona główna AktualnościOPROGRAMOWANIE

Kiedy ostatni raz sprawdzaliście zabezpieczenia swojego routera, modemu czy dysku sieciowego? Jeśli odpowiedź brzmi „nigdy”, to niewykluczone, że dziś są one częścią całkiem pokaźnego botnetu, tworzonego przez Łosia, robaka uderzającego w osadzone systemy linuksowe. Głównym celem Łosia jest utrzymywanie aktywności fałszywych kont na serwisach społecznościowych, ale też wykradanie ciasteczek realnych kont, by za ich pomocą „polubić” te sfałszowane.

Dwóch badaczy z firmy ESET, Olivier Bilodeau i Thomas Dupuy, przedstawiło informacje o rozpowszechniającym się w wielkim tempie w Sieci robaku, oznaczonym przez nich jako Linux/Moose (ang. „łoś”). Nazwa nie jest przypadkowa, robak rozpowszechnia się za pomocą pliku o nazwie elan2 – po francusku oznaczającej „łosia”. Malware to przeprowadza siłowe ataki na routery i inne urządzenia sieciowe z otwartym portem Telnetu za pomocą fabrycznych danych logowania (w tym oczywiście klasycznego admin/admin). Po udanym połączeniu, robak instaluje się na urządzeniu, a następnie zaczyna śledzić przechodzący przez niego ruch sieciowy, poszukując niezaszyfrowanych ciasteczek z przeglądarek i aplikacji mobilnych, wykorzystywanych w nieszyfrowanych połączeniach z serwisami korzystającymi z rozmaitych funkcji oferowanych przez serwisy społecznościowe.

Łoś zaczyna też skanować inne adresy IP, zarówno w puli dostawcy Internetu jak i w lokalnej sieci, poszukując kolejnych podatnych urządzeń i podejmując próby ich zarażenia. Jeśli się powiodą, to oprócz śledzenia ruchu, malware próbuje zmienić ustawienia adresów DNS, tak by rozwiązywać nazwy domen za pomocą złośliwych serwerów i w ten sposób przekierowywać ofiary na strony phishingowe czy hostujące malware.

r   e   k   l   a   m   a

Zdaniem badaczy głównym celem robaka jest tworzenie sieci węzłów proxy, poprzez które serwery dowodzenia i kontroli botnetu mogłyby bezpiecznie łączyć się z serwisami społecznościowymi. Na porcie 2318 zarażonego urządzenia uruchamiana jest usługa proxy, przyjmująca polecenia z zamkniętej listy adresów IP i przekierowująca je po szyfrowanych połączeniach HTTPS do serwisów społecznościowych, przede wszystkim Instagramu, ale też Twittera i Vine. Po ponad miesięcznej obserwacji jednego zarażonego routera, Bilodeau i Dupuy zauważyli, że posłużył on do założenia ponad 700 kont na Instagramie. Konta takie bardzo szybko zaczynały być „śledzone” przez kolejne konta, a gdy osiągnęły pewną masę krytyczną, zostały zastosowane do śledzenia, oczywiście odpłatnego, komercyjnych kont w tym serwisie.

Zaplanowany z myślą o zarabianiu na reklamujących się w social media firmach botnet może dziś niestety mieć skutki uboczne, poważniejsze w skutkach. Francuscy badacze informują, że Łoś jest w stanie zarazić liczne urządzenia Internetu Rzeczy, w tym sprzęt medyczny, taki jak np. Hospira Drug Infusion Pump. Nie wygląda na to, by było to zamierzonym celem, ale robak może zagrozić bezpieczeństwu korzystania z takiego sprzętu.

Jedyną pociechą przy tej trudnej infekcji, która toczy Internet od przynajmniej lipca 2014 roku, jest fakt, że wystarczy zrestartować zarażone urządzenie, a robak zniknie – nie jest w stanie zapisać się na stałe w systemie plików. Po restarcie konieczna jest oczywiście zmiana haseł, tak by podczas kolejnego skanu sprzęt przez Łosia nie został przejęty.

Więcej o tym ciekawym ataku znajdziecie na korporacyjnym blogu firmy ESET – welivesecurity, a kompletną jego analizę, w raporcie badaczy pt. Dissecting Linux/Moose.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.