Исследователи из Cisco обнаружили необычный зловред, поражающий устройства под управлением Linux. Новобранец имеет довольно сложный алгоритм и регулярно модифицируется автором с учетом новых целей.

Примечательно, что данная вредоносная программа сама ищет новые цели, но при этом старается не привлекать внимания и обходит ресурсы, принадлежащие государственным органам и силовым ведомствам.

Хитроумный бот написан на языке Go, который нечасто используется авторами вредоносных программ. Зловред получил название GoScanSSH, так как использует протокол SecureShell для проникновения на устройство жертвы.

Первоначальная атака строится на генерации и сканировании большого количества IP-адресов. Из массива случайно созданных идентификаторов исключаются служебные IP, а также подсети, принадлежащие государственным органам США и других стран. Зловред проверяет каждый элемент полученного списка в поисках открытого SSH-порта и, обнаружив таковой, пытается найти связанные с этим IP доменные имена. Названия веб-сайтов сверяются с еще одним стоп-листом, в который входят домены .gov, .army, .navy, .gov.uk, .mil и другие.

Убедившись в безопасности обнаруженного ресурса, GoScanSSH приступает к следующему этапу атаки. Чтобы проникнуть в систему, он применяет метод подбора имен и паролей. При этом используется список из примерно 7000 комбинаций, часть которых является значениями по умолчанию для популярных роутеров, телевизионных приставок, IP-телефонов и другого IoT-оборудования.

Получив доступ к устройству, вредоносная программа связывается с одним из командных серверов в дарквебе, коих эксперты насчитали 250. Для связи используется прокси-сервис Tor2Web, что позволяет облегчить код зловреда, исключив из него TOR-клиент.

Интересно, что автор GoScanSSH разрабатывает уникальную версию своей утилиты для каждого скомпрометированного хоста. После получения идентификационных данных он вручную устанавливает модифицированный вариант зловреда на скомпрометированное устройство. Эксперты обнаружили порядка 70 вариантов GoScanSSH, адаптированных для различных типов процессоров, аппаратных и программных платформ.

Завершив внедрение, вредоносная программа выполняет на сервере ряд ресурсоемких операций, чтобы оценить его производительность, и передает эти данные в зашифрованном виде на C&C-сервер. После этого зловред, подобно сетевому червю, проводит сканирование сети в поисках других уязвимых устройств.

Исследователи предполагают, что распространение GoScanSSH является лишь первым этапом комплексной атаки. Специалисты не исключают, что в перспективе зловред будет использован для майнинга, но отметили, что такой вариант маловероятен. Часть зараженных устройств относится к Интернету вещей и просто не имеет аппаратных средств, необходимых для генерации криптовалюты.

Скорее всего, мы являемся свидетелями построения нового ботнета, при помощи которого в будущем преступники осуществят более масштабную атаку. В пользу этой версии говорит осторожность, с которой они обходят серверы ведомств, обладающих значительными ресурсами в сфере интернет-безопасности.

Несмотря на то что первые случаи заражения относятся к июню 2017 года, количество затронутых хостов на данный момент невелико. Однако в последнее время активность GoScanSSH увеличилась, что может свидетельствовать о начале следующего этапа его распространения.

IoT-устройства являются лакомым кусочком для киберпреступников. Уровень защиты такого оборудования зачастую ниже, чем у обычных компьютеров, а вычислительные мощности, учитывая его массовость, сопоставимы с серьезными системами. В начале года стало известно о быстрорастущем ботнете, составленном из IP-камер. Сеть под управлением зловреда HNS включает в себя 24 тыс. устройств и возможно, так же как и GoScanSSH, ждет своего часа для начала масштабной атаки.

Категории: Аналитика, Вредоносные программы