Вредонос используется злоумышленниками для взлома систем управления реляционными базами данных PHPMyAdmin.
Специалисты компании «Доктор Веб» обнаружили новую вредоносную программу, способную инфицировать маршрутизаторы с архитектурой ARM, MIPS и PowerPC, работающие под управлением ОС Linux. Данный вредонос используется злоумышленниками для загрузки других опасных приложений на целевой маршрутизатор, для взлома систем управления реляционными базами данных PHPMyAdmin, а также подбора логинов и паролей для несанкционированного доступа по протоколу SSH к различным устройствам и серверам.
Как полагают аналитики, изначально троян, получивший название Linux.PNScan.1 (по классификации «Доктор Веб»), устанавливается на атакуемые маршрутизаторы самим вирусописателем. К примеру, с использованием уязвимости ShellShock путем запуска сценария с соответствующими параметрами. Затем он загружается и устанавливается на целевые маршрутизаторы другими троянами, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным предназначением вредоноса является взлом маршрутизатора и загрузка вредоносного скрипта, устанавливающего на маршрутизатор бэкдоры.
При запуске вредоносного ПО используются входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. При проведении атак, отмечают специалисты, эксплуатируются RCE-уязвимости для запуска соответствующего sh-сценария. Так, для маршрутизаторов от компании Linksys применяется атака на уязвимость в протоколе HNAP (Home Network Administration Protocol) и брешь CVE-2013-2678. При этом для авторизации вредонос пытается подобрать сочетание логина и пароля по специальному словарю. Также троян активно эксплуатирует уязвимость ShellShock ( CVE-2014-6271 ) и брешь в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.
Далее троян загружает многофункциональные бэкдоры, способные осуществлять DDoS-атаки различных типов (ACK Flood, SYN Flood, UDP Flood и пр.), и выполнять команды злоумышленников, в том числе на загрузку инструмента для взлома административной панели системы управления реляционными базами данных PhpMyAdmin. В процессе запуска этот скрипт получает диапазон IP-адресов и два файла, в одном из которых содержится словарь для подбора пары имя пользователя/пароль, а в другом – путь к административной панели PhpMyAdmin.