Исследователи рассказали о распространении ранее неизвестного вредоносного ПО, которое устанавливает скрытый криптовалютный майнер на Linux-устройства по всему миру.
Принцип простой, ситуация страшная
Вирус под названием NoaBot — модифицированная версия вредоносного ПО Mirai, которое воспроизводит само себя и таким образом распространяется на многих тысячах гаджетов.
Mirai известен с 2016 года. Принцип действия сетевого червя прост: программа размещается на устройстве, которое сканирует интернет в поисках других аппаратов, принимающих соединение по протоколу Telnet, и пытается подобрать к ним пароли. После захвата управления атакуемые гаджеты заражаются Mirai и включаются в поиск следующих жертв.
Ботнет использовался злоумышленниками для организации DDoS-атак. За счёт гигантского числа вовлечённых устройств атаки получаются внушительными: например, в октябре 2022 года Cloudflare зафиксировала операцию мощностью 2,5 Тбит/с.
Чем интересен NoaBot?
NoaBot использует ту же тактику распространения, но с другими целями. Червь нацелен на аппараты со слабыми паролями для SSH-соединений. При взломе в память жертвы загружается ПО для майнинга криптовалют — так хакеры получают доход за счёт чужой вычислительной мощности, электричества и пропускной способности.
Разработчики постарались затруднить обнаружение и анализ червя за счёт таких действий:
- NoaBot использует нестандартные библиотеки и обфускацию строк кода, что затрудняет обнаружение антивирусами и анализ кода.
- Конфигурация, где записаны адреса криптовалютных кошельков для вывода средств, хранится в зашифрованном виде и расшифровывается непосредственно перед запуском майнера — это усложняет идентификацию злоумышленников.
- Скорее всего, червь использует приватный пул для майнинга.
Интернет-провайдер Akamai отслеживал активность червя в течение 2023 года и выявил атаки с 849 различных IP-адресов по всему миру, в том числе из России. Конкретные масштабы проблемы пока сложно оценить, но нестандартные методы мошенников вызывают обеспокоенность исследователей.
Что делать?
Специалисты Akamai считают, что риск заражения значительно снижает ограничение произвольного доступа к устройствам по протоколу SSH. Ещё рекомендуется установить сложный пароль: NoaBot подбирает ключи по списку из самых используемых комбинаций.
Компания опубликовала индикаторы компрометации, по которым можно проверять гаджеты на предмет заражения.
