Добавить в корзинуПозвонить
Найти в Дзене
4pda.to
88,3 тыс подписчиков

Роутеры и гаджеты под угрозой. На Linux распространяется новый вирус

2289
1 мин
Исследователи рассказали о распространении ранее неизвестного вредоносного ПО, которое устанавливает скрытый криптовалютный майнер на Linux-устройства по всему миру. Принцип простой, ситуация страшная Вирус под названием NoaBot — модифицированная версия вредоносного ПО Mirai, которое воспроизводит само себя и таким образом распространяется на многих тысячах гаджетов. Mirai известен с 2016 года. Принцип действия сетевого червя прост: программа размещается на устройстве, которое сканирует интернет в поисках других аппаратов, принимающих соединение по протоколу Telnet, и пытается подобрать к ним пароли. После захвата управления атакуемые гаджеты заражаются Mirai и включаются в поиск следующих жертв. Ботнет использовался злоумышленниками для организации DDoS-атак. За счёт гигантского числа вовлечённых устройств атаки получаются внушительными: например, в октябре 2022 года Cloudflare зафиксировала операцию мощностью 2,5 Тбит/с. Чем интересен NoaBot? NoaBot использует ту же тактику распростр
Оглавление
Роутеры и гаджеты под угрозой. На Linux распространяется новый вирус
Роутеры и гаджеты под угрозой. На Linux распространяется новый вирус

Исследователи рассказали о распространении ранее неизвестного вредоносного ПО, которое устанавливает скрытый криптовалютный майнер на Linux-устройства по всему миру.

-2

Принцип простой, ситуация страшная

Вирус под названием NoaBot — модифицированная версия вредоносного ПО Mirai, которое воспроизводит само себя и таким образом распространяется на многих тысячах гаджетов.

Mirai известен с 2016 года. Принцип действия сетевого червя прост: программа размещается на устройстве, которое сканирует интернет в поисках других аппаратов, принимающих соединение по протоколу Telnet, и пытается подобрать к ним пароли. После захвата управления атакуемые гаджеты заражаются Mirai и включаются в поиск следующих жертв.

-3

Ботнет использовался злоумышленниками для организации DDoS-атак. За счёт гигантского числа вовлечённых устройств атаки получаются внушительными: например, в октябре 2022 года Cloudflare зафиксировала операцию мощностью 2,5 Тбит/с.

Чем интересен NoaBot?

NoaBot использует ту же тактику распространения, но с другими целями. Червь нацелен на аппараты со слабыми паролями для SSH-соединений. При взломе в память жертвы загружается ПО для майнинга криптовалют — так хакеры получают доход за счёт чужой вычислительной мощности, электричества и пропускной способности.

Разработчики постарались затруднить обнаружение и анализ червя за счёт таких действий:

  • NoaBot использует нестандартные библиотеки и обфускацию строк кода, что затрудняет обнаружение антивирусами и анализ кода.
  • Конфигурация, где записаны адреса криптовалютных кошельков для вывода средств, хранится в зашифрованном виде и расшифровывается непосредственно перед запуском майнера — это усложняет идентификацию злоумышленников.
  • Скорее всего, червь использует приватный пул для майнинга.
-4

Интернет-провайдер Akamai отслеживал активность червя в течение 2023 года и выявил атаки с 849 различных IP-адресов по всему миру, в том числе из России. Конкретные масштабы проблемы пока сложно оценить, но нестандартные методы мошенников вызывают обеспокоенность исследователей.

Что делать?

Специалисты Akamai считают, что риск заражения значительно снижает ограничение произвольного доступа к устройствам по протоколу SSH. Ещё рекомендуется установить сложный пароль: NoaBot подбирает ключи по списку из самых используемых комбинаций.

Компания опубликовала индикаторы компрометации, по которым можно проверять гаджеты на предмет заражения.

10