После «успеха» трояна Mirai, благодаря которому злоумышленникам удалось осуществить масштабные DDoS-атаки на крупнейшего европейского хостера OVH и DNS-провайдера Dyn, число вредоносов, нацеленных на интернет вещей, неумолимо растет день ото дня.
Исследователь MalwareMustDie обнаружил новое семейство малвари, написанное на C++ и получившее имя Linux/IRCTelnet. Вредонос действует по уже хорошо знакомой схеме: сканирует сеть в поисках Linux-девайсов с открытыми Telnet-портами, а затем брутфорсом подбирает учетные данные. Зараженные устройства становятся частью ботнета, который, как можно догадаться из названия угрозы, управляется посредством IRC.
IRCTelnet определенно создан по образу и подобию других популярных образчиков вредоносного ПО. Так, управление через IRC – это очень старая и известная тактика, и больше других в этом, пожалуй, преуспела малварь Kaiten.Telnet-сканер и система для брутфорса позаимствованы у GafGyt (он же Torlus, Lizkebab, Bashlite или Bashdoor). Списки логинов и паролей, которые перебирает малварь, скопированы с Mirai. На данный момент, согласно информации VirusTotal, вредонос обнаруживается малым числом антивирусных решений, и чаще они принимают его за очередную версию GafGyt.
Исследователь пишет, что IRCTelnet поражает устройства, работающие с ядром Linux 2.6.32 и выше. При этом функциональность малвари включает в себя осуществление DDoS-атак и спуфинг как адресов IPv4, так и IPv6. Впрочем, Telnet-сканер и брутфорс работают только против адресов IPv4. Судя по IRC-каналу, через который реализовано управление зараженными девайсами, в настоящее время ботнет насчитывает порядка 3400 устройств.