Ten łoś żywi się routerami, by zarabiać na marketingu w sieciach społecznościowych

Kiedy ostatni raz sprawdzaliście zabezpieczenia swojego routera,modemu czy dysku sieciowego? Jeśli odpowiedź brzmi „nigdy”, toniewykluczone, że dziś są one częścią całkiem pokaźnegobotnetu, tworzonego przez Łosia, robaka uderzającego w osadzonesystemy linuksowe. Głównym celem Łosia jest utrzymywanieaktywności fałszywych kont na serwisach społecznościowych, aleteż wykradanie ciasteczek realnych kont, by za ich pomocą „polubić”te sfałszowane.

Dwóch badaczy z firmy ESET, Olivier Bilodeau i Thomas Dupuy,przedstawiło informacje o rozpowszechniającym się w wielkim tempiew Sieci robaku, oznaczonym przez nich jako Linux/Moose (ang. „łoś”).Nazwa nie jest przypadkowa, robak rozpowszechnia się za pomocąpliku o nazwie elan2 – po francusku oznaczającej „łosia”.Malware to przeprowadza siłowe ataki na routery i inne urządzeniasieciowe z otwartym portem Telnetu za pomocą fabrycznych danychlogowania (w tym oczywiście klasycznego admin/admin). Po udanympołączeniu, robak instaluje się na urządzeniu, a następniezaczyna śledzić przechodzący przez niego ruch sieciowy, poszukującniezaszyfrowanych ciasteczek z przeglądarek i aplikacji mobilnych,wykorzystywanych w nieszyfrowanych połączeniach z serwisamikorzystającymi z rozmaitych funkcji oferowanych przez serwisyspołecznościowe.

Łoś zaczyna też skanować inne adresy IP, zarówno w pulidostawcy Internetu jak i w lokalnej sieci, poszukując kolejnychpodatnych urządzeń i podejmując próby ich zarażenia. Jeśli siępowiodą, to oprócz śledzenia ruchu, malware próbuje zmienićustawienia adresów DNS, tak by rozwiązywać nazwy domen za pomocązłośliwych serwerów i w ten sposób przekierowywać ofiary nastrony phishingowe czy hostujące malware.

Zdaniem badaczy głównym celem robaka jest tworzenie sieci węzłówproxy, poprzez które serwery dowodzenia i kontroli botnetu mogłybybezpiecznie łączyć się z serwisami społecznościowymi. Na porcie2318 zarażonego urządzenia uruchamiana jest usługa proxy,przyjmująca polecenia z zamkniętej listy adresów IP iprzekierowująca je po szyfrowanych połączeniach HTTPS do serwisówspołecznościowych, przede wszystkim Instagramu, ale też Twittera iVine. Po ponad miesięcznej obserwacji jednego zarażonego routera,Bilodeau i Dupuy zauważyli, że posłużył on do założenia ponad700 kont na Instagramie. Konta takie bardzo szybko zaczynały być„śledzone” przez kolejne konta, a gdy osiągnęły pewną masękrytyczną, zostały zastosowane do śledzenia, oczywiścieodpłatnego, komercyjnych kont w tym serwisie.

Zaplanowany z myślą o zarabianiu na reklamujących się w socialmedia firmach botnet może dziś niestety mieć skutki uboczne,poważniejsze w skutkach. Francuscy badacze informują, że Łośjest w stanie zarazić liczne urządzenia Internetu Rzeczy, w tymsprzęt medyczny, taki jak np. Hospira Drug Infusion Pump. Niewygląda na to, by było to zamierzonym celem, ale robak możezagrozić bezpieczeństwu korzystania z takiego sprzętu.

Jedyną pociechą przy tej trudnej infekcji, która toczy Internetod przynajmniej lipca 2014 roku, jest fakt, że wystarczyzrestartować zarażone urządzenie, a robak zniknie – nie jest wstanie zapisać się na stałe w systemie plików. Po restarciekonieczna jest oczywiście zmiana haseł, tak by podczas kolejnegoskanu sprzęt przez Łosia nie został przejęty.

Więcej o tym ciekawym ataku znajdziecie na korporacyjnym blogufirmy ESET – welivesecurity,a kompletną jego analizę, w raporcie badaczy pt. DissectingLinux/Moose.