Linux-вредонос GoScanSSH обходит стороной правительство и военных

image

Теги: вредоносное ПО, GoScanSSH, Интернет вещей, IoT, Linux

Исследователи затрудняются назвать истинное предназначение GoScanSSH.

Исследователи из Cisco Talos обнаружили новое вредоносное ПО для Linux, обходящее стороной устройства в сетях правительственных и военных организаций. Вредонос получил название GoScanSSH, поскольку написан на Go, с помощью уже инфицированных хостов сканирует интернет в поисках новых и в качестве точки входа использует порт SSH.

Процесс заражения GoScanSSH довольно сложный, а сам вредонос вряд ли является делом рук рядового оператора ботнета из устройств «Интернета вещей» (IoT). Скорее всего, его автором является серьезный разработчик, желающий получить доступ к внутренним сетям для развития дальнейших операций. С целью не привлекать к GoScanSSH лишнее внимание, автор реализовал в программе функционал, позволяющий избегать сетей правительственных и военных организаций.

К настоящему времени специалисты Cisco Talos выявили более 70 уникальных образцов GoScanSSH с различными номерами версий (1.2.2, 1.2.4, 1.3.0 и т.д.), а значит, по ходу дела автор вредоноса продолжает его дорабатывать.

Запускаемый GoScanSSH на зараженном устройстве процесс вычисления хеша может указывать на то, что ПО предназначено для последующей установки майнера криптовалюты. Тем не менее, до сих пор случаи установки майнеров с использованием данного вредоноса зафиксированы не были. Кроме того, используемый GoScanSSH для взлома атакуемых устройств список паролей по умолчанию свидетельствует против теории о майнерах. Учетные данные принадлежат IoT-устройствам, у которых отсутствуют необходимые для майнинга ресурсы (системам OpenELEC, материнским платам Raspberry Pi, устройствам OSMC, маршрутизаторам Ubiquiti, телефонам PolyCom SIP, устройствам Huawei и серверам Asterisk).

На данном этапе исследователи затрудняются назвать истинное предназначение GoScanSSH. Тем не менее, некоторые факты (заражение хостов вручную и обход правительственных сетей) свидетельствуют о возможной подготовке операторов вредоноса к более масштабной операции.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.