В Сети активно распространяется новый зловред Rakos, атакующий интернет вещей. Основными объектами атаки становятся устройства на базе ОС Linux со слабыми или «заводскими» логинами и паролями. По-видимому, кто-то пытается создать еще один ботнет, аналогичный Mirai.
Слабые пароли и брутфорс
Исследователи компании ESET отметили интенсивное распространение нового вредоносного ПО, атакующего встраиваемые устройства и серверы на базе ОС Linux. По всей видимости, происходит строительство нового «ботнета вещей» — вредоносной сети, состоящей из устройств интернета вещей.
Отмечается, что с технической точки зрения метод атаки довольно прост: зловред, получивший название Rakos, ищет в Сети устройства с открытым SSH-портом, так называемым методом Брутфорса подбирает логины-пароли к ним, заражает, а затем использует их для дальнейшего распространения. Согласно данным исследователей ESET, Rakos изначально использует небольшой список IP-адресов, по которым располагаются слабозащищенные мишени, но постепенно расширяет ареал поиска.
«Свои» серверы
Заразив устройство, Rakos разворачивает на нем локальный HTTP-сервер, который позволяет будущим версиям зловреда закрывать процессы старых версий, и пытается декодировать URL-запросы по определенным параметрам. Он также разворачивает веб-сервер, который «слушает» входящие соединения на случайных TCP-портах в диапазоне 20000-60000.
Если на этот порт приходит запрос, в ответ отправляется информация с IP-адресом. Зловред также отправляет изначальный HTTP-запрос, содержащий важные сведения о зараженном устройстве, на командный сервер. В частности — логин и пароль, что обеспечивает злоумышленникам прямой контроль над устройствами подобного рода.
Предыдущая версия троянца также осуществляла поиск SMTP-сервиса, но в последней версии эта функция оказалась отключена.
Повторить успех?
Пока что Rakos не обладает функциями, необходимыми для осуществления DDoS-атак или рассылки спама, но можно с уверенностью сказать, что они скоро появятся, считают эксперты.
«На мой взгляд, эксперты выявили неоконченную попытку строительства нового ботнета интернета вещей, аналогичного нашумевшему Mirai, — считает генеральный директор компании «Монитор безопасности» Дмитрий Гвоздев. — Ботнеты, использующие интернет вещей, появились довольно давно, однако Mirai, использовавшийся в мощнейшей DDoS-атаке, стал первым, о котором заговорили не только в сообществах специалистов по информбезопасности. Естественно, что появилось много желающих «повторить успех».
По словам Гвоздева, пользователи устройств интернета вещей откровенно пренебрегают азами безопасности, оставляя заводские пары логинов-паролей или ставя какие-то слабые и легко подбираемые комбинации. Безопасностью пренебрегают и производители этих устройств, поэтому «ботнеты вещей» неизбежно заставят говорить о себе снова и снова.
Источник: cnews.ru
