Мир: Обнаружен “няшный” Linux-троян для IoT-устройств

3

Как показала сентябрьская DDoS-атака на сайт журналиста Брайана Кребса, ставшая самой мощной за всю историю, устройства “Интернета вещей” (IoT) представляют собой плодородную почву для создания ботнетов. Ярким доказательством является ботнет Mirai (исходный код трояна недавно был опубликован в открытом доступе), поэтому неудивительно, что вирусописатели принялись активно разрабатывать вредоносное ПО для IoT-устройств.

Как сообщает исследователь безопасности MalwareMustDie, в свое время обнаруживший Mirai, одним из новейших троянов подобного рода является Linux/NyaDrop. Вредонос появился еще в мае текущего года, но был очень простым и не пользовался популярностью. Тем не менее, после атаки на сайт Кребса авторы выпустили новую версию NyaDrop.


Как и в случае с большинством существующих в настоящее время вредоносов для IoT-устройств, авторы NyaDrop полагаются на брутфорс-атаки. Злоумышленники находят подключенные к интернету устройства, а затем подбирают учетные данные из списка дефолтных паролей. Затем запускается скрипт, выполняющий серию автоматизированных команд для загрузки и выполнения NyaDrop.

Размер трояна очень маленький, поскольку он является всего лишь дроппером, загружающим другое, более мощное ПО. Использование дропперов для загрузки – обычная практика для инфицирования десктопных компьютеров, однако для IoT-устройств она применяется нечасто.

Попав на систему, NyaDrop сканирует ее на наличие ловушек (honeypot) и в случае их отсутствия загружает файл с именем “nya” в формате ELF. Загрузка происходит только в случае, если IoT-устройство оснащено процессором на базе 32-разрядной архитектуры MIPS (как правило, это маршрутизаторы, видеорегистраторы, камеры видеонаблюдения и другие встроенные системы). По словам MalwareMustDie, автором трояна является русский разработчик. Он приложил большие усилия для того, чтобы скрыть свое творение подальше от любопытных глаз. “Добыть образец чрезвычайно сложно. Это большая удача, что мне все-таки удалось узнать, как он работает”, – отметил исследователь. (MalwareMustDie/NovostIT)