Analitycy z Laboratorium Antywirusowego ESET odkryli robaka infekującego urządzenia z systemem Linux. Atakuje on głównie rutery poprzez usługę telnet, lecz zagrożone są również inne urządzenia w sieci takie jak modemy, kamery IP, nagrywarki DVR.
Wirus przeszukuje sieci w poszukiwaniu aktywnej usługi telnet działającej na standardowym porcie i próbuje się zalogować na konto administratora urządzenia przy użyciu domyślnych haseł producenckich. Jeśli już uda mu się zalogować instaluje się na sprzęcie i rozpoczyna przeszukiwanie naszej sieci LAN oraz puli adresowej naszego ISP w celu infekcji kolejnych urządzeń. Po ukończeniu skanowania podmienia serwery nazw urządzenia na własne w celu podsłuchiwania odpytań domenowych i przekierowywać ofiary na własne strony internetowe z malvare.
Jednak głównym celem nie jest podmiana stron WWW, robak tworzy serwer proxy łączący się z serwisami społecznościowymi. Tworzy nowe konta oraz sztucznie generuje obserwatorów oraz polubienia. Które następnie mogą zostać wystawione na sprzedaż.
Według twórców raportu zagrożone są głównie urządzenia następujących producentów: Actiontec, HikVision, Netgear, Synology, TP-Link, ZyXEL i Zhone. Aby sprawdzić czy nasze urządzenia nie są zainfekowane należy zweryfikować nasze serwery DNS. Robak jest usuwany z urządzenia po restarcie, ponieważ nie jest wstanie uzyskać dostępu do pamięci trwałej urządzenia. Po restarcie jednak należy od razu zmienić hasła dostępowe do urządzenia aby sytuacja się nie powtórzyła.
LINKI:
- Raport analityków ESET – http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf
- Wpis na blogu firmy ESET – http://www.welivesecurity.com/2015/05/26/moose-router-worm/