Обнаружен новый троян, инфицирующий маршрутизаторы под управлением ОС Linux

Обнаружен новый троян, инфицирующий маршрутизаторы под управлением ОС Linux

Вредонос используется злоумышленниками для взлома систем управления реляционными базами данных PHPMyAdmin.

image

Специалисты компании «Доктор Веб» обнаружили новую вредоносную программу, способную инфицировать маршрутизаторы с архитектурой ARM, MIPS и PowerPC, работающие под управлением ОС Linux. Данный вредонос используется злоумышленниками для загрузки других опасных приложений на целевой маршрутизатор, для взлома систем управления реляционными базами данных PHPMyAdmin, а также подбора логинов и паролей для несанкционированного доступа по протоколу SSH к различным устройствам и серверам.

Как полагают аналитики, изначально троян, получивший название Linux.PNScan.1 (по классификации «Доктор Веб»), устанавливается на атакуемые маршрутизаторы самим вирусописателем. К примеру, с использованием уязвимости ShellShock путем запуска сценария с соответствующими параметрами. Затем он загружается и устанавливается на целевые маршрутизаторы другими троянами, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным предназначением вредоноса является взлом маршрутизатора и загрузка вредоносного скрипта, устанавливающего на маршрутизатор бэкдоры.

При запуске вредоносного ПО используются входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. При проведении атак, отмечают специалисты, эксплуатируются RCE-уязвимости для запуска соответствующего sh-сценария. Так, для маршрутизаторов от компании Linksys применяется атака на уязвимость в протоколе HNAP (Home Network Administration Protocol) и брешь CVE-2013-2678. При этом для авторизации вредонос пытается подобрать сочетание логина и пароля по специальному словарю. Также троян активно эксплуатирует уязвимость ShellShock ( CVE-2014-6271 ) и брешь в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.

Далее троян загружает многофункциональные бэкдоры, способные осуществлять DDoS-атаки различных типов (ACK Flood, SYN Flood, UDP Flood и пр.), и выполнять команды злоумышленников, в том числе на загрузку инструмента для взлома административной панели системы управления реляционными базами данных PhpMyAdmin. В процессе запуска этот скрипт получает диапазон IP-адресов и два файла, в одном из которых содержится словарь для подбора пары имя пользователя/пароль, а в другом – путь к административной панели PhpMyAdmin.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle