Киберпреступники используют бот Linux/Remaiten для компрометации маршрутизаторов
Бот сочетает функции уже известного вредоносного ПО для Linux – Tsunami и Gafgyt.
Исследователи компании ESET активно отслеживают деятельность вредоносных программ, используемых злоумышленниками для компрометации встраиваемых устройств, в частности, маршрутизаторов, сетевых шлюзов и беспроводных точек доступа. Некоторое время назад эксперты обнаружили IRC-бот, сочетающий функции уже известного вредоносного ПО для Linux – Tsunami (Kaiten) и Gafgyt. Новая программа получила название Linux/Remaiten. От вышеуказанного ПО вредонос отличается наличием ряда улучшений и новых функций.
По данным аналитиков ESET, существует три версии Linux/Remaiten – 2.0, 2.1 и 2.2. Сами вирусописатели называют данное вредоносное ПО KTN-Remastered или KTN-RM.
Одной из ключевых особенностей функционала Gafgyt является сканирование различных IP-адресов на предмет подключения к порту с номером 23 (Telnet). В случае обнаружения жертвы, Gafgyt загружает исполняемые файлы для различных архитектур микропроцессоров. Разработчики Linux/Remaiten улучшили используемый Gafgyt метод. Вместо загрузки исполняемых файлов всех поддерживаемых архитектур в память устройства загружается только один соответствующий загрузчик.
Бот Linux/Remaiten функционирует в системе по умолчанию как сервис или демон. При запуске бота с ключом «–d» он работает в качестве обычного приложения. После запуска бота в данном режиме название его процесса будет изменено на название какого-либо стандартного легитимного процесса (например, «-bash» или «-sh»). Используя функцию create_daemon, бот создает файл .kpid в одной из предустановленных директорий демона и записывает в него идентификатор (PID) своего процесса.
Далее Linux/Remaiten случайным образом выбирает адрес C&C-сервера из списка внедренных IP-адресов и подключается к определенному порту. После успешного подключения бот регистрируется на IRC-сервере и получает от него приветственное сообщение и дальнейшие указания.
Бот может выполнять различные IRC-команды C&C-сервера, в частности, команду PRIVMSG. Она используется сервером для инструктирования бота на выполнение ряда действий (загрузку файлов, сканирование IP-адресов с целью подключения по Telnet и пр.). Бот отправляет на C&C-сервер данные об IP-адресе устройства, логин/пароль и сообщает, было ли оно заражено. Как полагают исследователи ESET, операторы бота могут вручную инфицировать целевое устройство, если не получится сделать это автоматически.
Цифровые следы - ваша слабость, и хакеры это знают.