Устройства с Linux са атакувани от невиждан досега червей
Базиран на зловредния програмен продукт Mirai, самовъзпроизвеждащият се NoaBot конфигурира приложение за криптиране на инфектираните устройства с Linux...
Емил Василев преди 9 секунди 0 Сподели Cables In Network Connection Plug at Data center roomНай-четени
IT НовиниДаниел Десподов - 14:02 | 10.01.2024Съвсем нов вид имунотерапия реализира 100% ремисия на рака при пациентите
IT НовиниДаниел Десподов - 13:44 | 10.01.2024Нещо ново: перална машина на LG употребява 3,66 GB трафик дневно, като 97% са качване на данни
IT НовиниДаниел Десподов - 16:42 | 09.01.2024Китайските военни учени основават новаторски плазмен щит за отбрана от лъчение, ракети и дронове
Емил Василевhttps://www.kaldata.com/През миналата година незнаен до момента самовъзпроизвеждащ се злотворен програмен продукт компрометира устройства с Linux по целия свят и конфигурира злотворен програмен продукт за криптиране, който подхваща необикновени стъпки, с цел да скрие вътрешната си работа, настояват откриватели.
Червеят е персонализирана версия на Mirai – злотворен програмен продукт за ботнет, който заразява Linux-базирани сървъри, рутери, уеб камери и други устройства от така наречен интернет на нещата (IoT). Mirai стана прочут през 2016 година, когато беше употребен за реализиране на рекордни по мащаб разпределени офанзиви за отвод на услуга, които сковаха основни елементи от интернет през същата година. Скоро основателите му разгласиха изходния код, което разреши на необятен кръг незаконни групи от целия свят да включат Mirai в личните си акции за офанзиви. След като завладее устройство с Linux, Mirai го употребява като платформа за заразяване на други уязвими устройства, което го трансформира в червей, т.е. той се самовъзпроизвежда.
Традиционно Mirai и многото му разновидности се популяризират, когато едно инфектирано устройство сканира интернет в търсене на други устройства, които одобряват Telnet връзки. След това инфектираните устройства се пробват да разбият паролата за Telnet, като отгатват двойки идентификационни данни по дифолт и постоянно употребявани идентификационни данни. Когато съумеят, новозаразените устройства се насочват към спомагателни устройства, употребявайки същата техника. Mirai се употребява най-вече за образуване на DDoS офанзиви. Предвид огромните количества честотна лента, с които разполагат доста такива устройства, потоците от непотребен трафик постоянно са големи, което дава на ботнета като цяло голяма мощност.
В сряда откриватели от компанията за мрежова сигурност и надеждност Akamai разкриха, че незнайна до момента мрежа, основана на Mirai, която те нарекоха NoaBot е била ориентирана към устройства с Linux най-малко от януари предходната година. Вместо да се насочва към слаби пароли за Telnet, NoaBot се насочва към слаби пароли, свързващи SSH връзки. Друг поврат: вместо да прави DDoS, новата ботнет мрежа конфигурира програмен продукт за рандеман на криптовалути, който разрешава на хакерите да генерират цифрови монети, употребявайки компютърните запаси, електричеството, и интернет връзката на жертвите. Криптоминьорът е модифицирана версия на XMRig – различен злотворен програмен продукт с отворен код. Неотдавна NoaBot беше употребен и за снабдяване на P2PInfect – обособен червей, който откривателите от Palo Alto Networks разкриха през юли предходната година.
На пръв взор NoaBot не е доста комплицирана акция – това е „ просто “ вид на Mirai и криптоминьора XMRig, а в днешно време те са десетки.
Най-усъвършенстваната дарба е методът, по който NoaBot конфигурира разновидността XMRig. Обикновено, когато се конфигурират криптоминьори, средствата на портфейлите, към които се разпределят са посочени в конфигурационните настройки, доставени в командния ред, публикуван на инфектираното устройство. Този метод от дълго време съставлява риск за участниците в заканите, защото разрешава на откривателите да наблюдават къде са ситуирани портфейлите и какъв брой пари са постъпили в тях.
NoaBot употребява нова техника, с цел да предотврати сходно разкриване. Вместо да дава конфигурационните настройки посредством команден ред, ботнетът съхранява настройките в криптиран или замаскиран тип и ги декриптира едвам откакто XMRig бъде зареден в паметта. След това ботнетът заменя вътрешната променлива, която нормално съдържа конфигурационните настройки от командния ред и предава ръководството на изходния код на XMRig.
