Пора отправлять в архивы истории старый анекдот о том, что вредоноса для Linux нужно сначала собрать из исходников, убедиться в том, что в системе есть все нужные библиотеки, и только после этого пытаться запустить, выдав ему предварительно права рута. Сейчас на рынке полно умных устройств с Linux, и они стали одной из любимых целей вирмейкеров. На чем основан этот интерес и как работают такие вредоносы?

Элементарная логика подсказывает: чтобы современный троян успешно выполнял свои функции, он должен без особого труда проникать в систему, иметь стабильное подключение к интернету и по возможности оставаться незамеченным как можно дольше. Всем этим критериям прекрасно соответствуют разнообразные девайсы категории «интернета вещей» — роутеры, телевизионные приставки, сетевые накопители, медиацентры, а также устройства, собранные на основе одноплатных компьютеров. Как правило, все они сидят на толстом интернет-канале, что превращает подобное оборудование в удобный инструмент для организации DDoS-атак.

С проникновением тоже зачастую не возникает серьезных проблем. По статистике, большинство владельцев умных устройств — это простые пользователи, которые не страдают от избытка знаний в сфере высоких технологий. Они относятся к девайсам IoT как к обычным бытовым приборам вроде соковыжималки или тостера, зачастую даже не подозревая, что у них вообще есть какие-то настройки, которые при желании можно изменить. Включили, работает, и ладно. Поэтому установленные на заводе дефолтные логины и пароли на подобных устройствах превращают брут в задачу, посильную любому школьнику.

Наконец, скрытность. С этим совсем все просто: кому, скажите на милость, придет в голову искать трояна в телевизионной приставке или в недрах роутера, тем более что антивирусы для большинства таких девайсов в дикой природе практически не водятся, а проверить их дистанционно — та еще задача для простого юзера. Да и многие непростые юзеры иногда по инерции уверены, что вредоносов для Linux не существует в принципе. Поэтому трояны для IoT могут чувствовать себя в системе совершенно вольготно: искать их там вряд ли будут, а если и будут, не факт, что найдут.

Производитель часто виноват не меньше пользователя: многие умные устройства, имеющие известные уязвимости в прошивке, не получают от производителя обновлений, которые могли бы закрыть дыры. Это значительно повышает эффективность использования даже устаревших эксплоитов. Вероятность «пробива» таких девайсов в среднем намного выше, чем даже компьютеров с регулярно обновляющейся виндой, не говоря уже о серверах или рабочих станциях с актуальным «Линуксом» на борту.

 

Мотивация вирусописателей

С какой целью создатели вредоносных программ устанавливают их на умные устройства? «Профессий» у большинства подобных троянов традиционно три. Прежде всего, это уже упомянутые выше DDoS-боты, начинающие флудить на указанный адрес сетевыми пакетами по команде с управляющего сервера. Конечно, одна бабушка с телевизионной приставкой завалить вражеский сервер тебе не поможет, но десяток старушек, как гласит народная мудрость, — уже рубль.

Во-вторых, на IoT-девайсах часто поднимают SOCKS-proxy-сервер, который можно использовать разными способами, прежде всего — для обеспечения анонимности.

Ну и наконец, в роутерах периодически заводятся трояны, подменяющие в настройках адреса DNS-серверов, чтобы показывать на клиентских машинах рекламу. При этом сам компьютер, на котором вдруг из ниоткуда начинают появляться баннеры с рекламой такси, онлайн-казино и девушек легкого поведения, остается девственно чистым, что подтвердит пользователю любой антивирус.

Смена настроек DNS вручную ничем не поможет: после перезагрузки роутера все вернется на круги своя. Спасти ситуацию сможет разве что сброс устройства к заводским установкам или его перепрошивка, что для большинства обывателей выглядит как тайная магия высшего уровня. Иногда на Linux-устройствах попадаются майнеры, но в последнее время интерес к ним на фоне общего спада рынка криптовалют понемногу снижается.

 

Матчасть

Изучение логов ханипотов, с помощью которых специалисты по информационной безопасности анализируют распространение троянов для «интернета вещей» в живой природе, показывает следующий путь их доставки на целевое устройство.

Обычно атакующие соединяются с привлекшим их внимание устройством по SSH или Telnet, подбирают пароль по словарю и в случае успешной авторизации отключают утилиту iptables, чтобы заблокировать работу файрвола. Дальше им остается только отыскать открытую на запись папку, сохранить в нее нужное приложение, соответствующее архитектуре устройства, и запустить его.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Оставить мнение

Check Also

Троян Astaroth использует антивирусы для кражи данных

ИБ-эксперты обнаружили новую версию малвари Astaroth, которая использует процессы защитног…