Администратор ИБ
0,1
рейтинг
4 октября 2015 в 16:51

Разработка → Обнаружен ботнет, который исправляет уязвимости в зараженных им маршрутизаторах и сообщает об этом администратору

Mario Ballano, один из аналитиков компании Symantec, сообщил об обнаружении странного ботнета, получившего наименование Linux.Wifatch, который с помощью уязвимости в службе Telnet заражает различные сетевые устройства и объединяет их в peer-to-peer сеть. При этом, мало того, что никакой деструктивной активности он не проявляет (вроде рассылки спама или организации DDoS), но и ведет себя как эдакий вирусный антивирус для зараженных устройств. Агент ботнета пытается найти и завершить процессы известных ему вредоносов, настраивает перезагрузку раз в неделю для своеобразной защиты от угроз, работающих только в оперативной памяти, а также убивает уязвимый демон Telnet, оставив сообщение администратору с просьбой отключить дырявую службу, сменить пароли или обновить прошивку!

Сообщение для администраторов уязвимых устройств:



Первые следы ботнета были обнаружены еще в ноябре 2014 году исследователем, который заметил, что его домашний маршрутизатор ведет себя как-то странно. Оказалось, что инфекция превратила его устройство в «зомби», подключенное к одноранговой сети из зараженных устройств. Вредоносная программа написана на Perl для различных архитектур и поставляется с собственными статическими интерпретаторами Perl для каждой.


По данным Symantec были заражены десятки тысяч устройств, причем основная их часть находится в Китае, Бразилии, Мексике и Индии.


Для исходного кода используется сжатие, но не обфускация. Как заявили в Semantec, похоже, автор не старался каким либо образом затруднить анализ кода, напротив, даже сделал множество поясняющих комментариев. В скриптах, которые ботнет использует для своей работы был обнаружен и такой примечательный текст:

image

Авторство данной фразы приписывают Ричарду Столлману, а вот автор ботнета, судя по всему, вдохновлялся подвигами Эдварда Сноудена.

Теоретически, агент ботнета все-таки несет в себе дополнительную угрозу, т.к. может выполнять произвольные команды от хозяина (командный центр скрыт с помощью Tor), но они должны быть подписаны криптографическим ключом, что исключает возможность постороннего использования. Самое интересное, останется ли автор на стороне добра или со временем все же использует ботнет для получения выгоды…
Перейдет ли автор ботнета на темную сторону?

Проголосовало 2090 человек. Воздержалось 434 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Александр @Akr0n
карма
89,7
рейтинг 0,1
Администратор ИБ
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (31)

  • +3
    Хаха) Может он просто конкурентов убивает?
    • 0
      Перейдет ли автор ботнета на темную сторону?

      — Думаю, он перейдет на серую, добро должно быть с кулаками ;)
      • 0
        А где вариант «бабло побеждает зло»???
        • 0
          Не обязательно делать зло за деньги, многие творят зло просто потому что могут.
  • +9
    А что, интересный и радикальный способ обеспечить себе приватность и безопасность. Ведь лучшая защита — это нападение. Ходишь с телефоном, атакуешь, заражаешь и «исправляешь» вай-фай роутеры, пока они не атаковали тебя.
    • +1
      Тогда уж сразу с квадрокоптером =)
  • +2
    http://geektimes.ru/post/263312/
    • +26
      Не видел. Вот уж поделили Хабр, спасибо…
  • +24
    На самом деле автором ботнета является компания D-link. Просто если они в открытую сделают безопасную и надежную прошивку, им никто не поверит.
    • +4
      … если они в открытую сделают безопасную и надежную прошивку для Cisco…
  • +2
    А можно как-то предупредить админа блога на WordPress?
    • +3
      легко, если у него установлен один из популярных дырявых бекап плагинов :)
      • +2
        А какие из них дырявые?
        • +1
          Проще ответить на обратное
          • +1
            Так ответьте )
            • 0
              Комментаторы слились :(
              • 0
                Та я уже понял. Спрашивал, потому что у меня сайт на вп
                • 0
                  Ну тут нет 100% панацеи. Капитанский совет: чем меньше на вп плагинов, тем он менее уязвим. За всеми установленными периодически поглядывать на предмет найденных дырок и латать. Конкретно бэкапный плагин я в принципе перестал использовать после его очередного факапа (не помню уже название, на гуглдрайв заливал). Теперь исключительно в консоли мускульдамп и гзип).
  • 0
    Опять Max 'Vision' Butler ??
    ))))
  • +1
    «Это какие-то неправильные пчёлы… они делают неправильный мёд»)
  • +3
    image
    • +2
      Простите, я не понял…
      Объясните идиоту.
      • +1
        Идиоту сложно что-либо объяснить вообще, а вам — пожалуйста (зачастую, в современном интернете, данная фотография символизирует некое сферическое добро) :)
        • 0
          Да. Дукалис – символ причинения необоснованного добра =)
          • +1
            Спасибо, не знал, что именно Дукалис источник мема «всем добра». Думал мем исключительно текстовый ;))

            Оффтоп.
            Пояндексил. Тогда уж так:
            Всем добра!!!
            image
  • +2
    Шикарно. Не припомню, чтобы когда-то такое было в истории.
  • +2
    Наверняка скоро появится ботнет который будет заражать маршрутизаторы а потом будет сообщать (троллить) администратору что заражён другой маршрутизатор :)
    • 0
      Лучше ботнет, который заражает другие ботнеты…
      Ботнет 2-го разряда… ;))
      • 0
        Это не разряд наверное а уровень. Или порядок. Получится вроде Spy vs. Spy.
  • 0
    В природе тоже так порой происходит — некоторые паразиты паразитируют на паразитах. Думаю эту цепочку можно даже продолжить…
  • 0
    [функциональный оффтоп]
    Ботнет высшего порядка

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.