Τέλος του 2013, η Symantec ανακάλυψε έναν ιό τύπου worm Internet of Things (IoT) με το όνομα Linux.Darlloz. Ο ιός έχει ως στόχο υπολογιστές που λειτουργούν με Intel x86 αρχιτεκτονικές. Πέρα από αυτό, ο ιός εστιάζει επίσης σε συσκευές που λειτουργούν με αρχιτεκτονικές ARM, MIPS και PowerPC, που συνήθως εντοπίζονται σε routers και σε set-top συσκευές. Μετά την αρχική ανακάλυψη του Linux.Darlloz, η εταιρεία ανακάλυψε μία νέα παραλλαγή του ιού αρχές του έτους. Σύμφωνα με την ανάλυση, ο δημιουργός του ιού συνεχώς αναβαθμίζει τον κωδικό και προσθέτει νέα χαρακτηριστικά , εστιάζοντας ιδιαιτέρως στο κέρδος χρημάτων μέσω του ιού.

Ερευνώντας ολόκληρο το πεδίο ΙΡ διευθύνσεων του διαδικτύου το Φεβρουάριο, η Symantec ανακάλυψε ότι υπήρχαν περισσότερες από 31.000 συσκευές που είχαν μολυνθεί από τον Linux.Darlloz.

Coinmining

Επιπρόσθετα, η εταιρεία ανακάλυψε ότι ο τωρινός στόχος του ιού είναι το mining ψηφιακού συναλλάγματος. Μόλις ένας υπολογιστής που λειτουργεί με Intel αρχιτεκτονική μολυνθεί από μία νέα παραλλαγή, ο ιός εγκαθιστά ένα cpuminer, ένα ανοιχτό λογισμικό που λειτουργεί ως πηγή mining νομισμάτων. Ο ιός έπειτα αρχίζει την εξόρυξη Minocoins ή Dogecoing από τους μολυσμένους υπολογιστές. Στο τέλος του Φεβρουαρίου του 2014, ο εισβολέας απέσπασε 42.438 Dogecoins (περίπου US$46) και 282 Mincoins (περίπου 42.438 Dogecoins). Αυτά τα ποσά είναι σχετικά χαμηλά για τη μέση δραστηριότητα ηλεκτρονικής εγκληματικότητας, οπότε αναμένουμε ότι ο εισβολέας θα συνεχίσει να εξελίσσει την απειλή του για να αυξήσει τα έσοδα.

Το νέο χαρακτηριστικό mining νομισμάτων του ιού επηρεάζει μόνο υπολογιστές που λειτουργούν με Intel x86 αρχιτεκτονικές και η Symantec δεν έχει εντοπίσει ακόμα το αντίκτυπό του σε ΙοΤ συσκευές. Αυτές οι συσκευές απαιτούν μεγαλύτερη μνήμη και ισχυρό CPU για το mining νομισμάτων.

Γιατί Mincoin και Dogecoin?

O ιός φαίνεται να στοχεύει στα Mincoins και τα Dogecoins, αντί να εστιάζει στα διάσημα και πιο διαδεδομένα μέσα συναλλαγής Bitcoin. Ο λόγος γιΆ αυτό είναι ότι τα Mincoins και τα Dogecoins χρησιμοποιούν τον αλγόριθμο scrypt, ο οποίος μπορεί να εξορύξει επιτυχώς από οικιακά PC ενώ τα Bitcoin απαιτούν ASIC chips για να επιφέρουν κέρδος.

Νέοι στόχοι

Η αρχική εκδοχή του Darlloz έχει εννέα συνδυασμούς από ονόματα χρηστών και κωδικούς για τα routers και τις set-top συσκευές. Η πιο πρόσφατη εκδοχή τώρα έχει 13 από αυτούς τους συνδυασμούς πιστοποίησης εισόδου, οι οποίοι επίσης λειτουργούν για κάμερες ΙΡ, που χρησιμοποιούνται συνήθως για απομακρυσμένη επίβλεψη κτιρίων.

 

 

Γιατί συσκευές IoT;

Το Internet of Things σχετίζεται με τις συνδεδεμένες συσκευές όλων των ειδών. Ενώ πολλοί χρήστες μπορούν να βεβαιώσουν ότι οι υπολογιστές τους είναι ασφαλείς απέναντι σε επιθέσεις, ίσως να μην έχουν συνειδητοποιήσει ότι οι IoT συσκευές τους χρειάζεται επίσης προστασία. Αντίθετα με τους συνηθισμένους υπολογιστές, πολλές IoT συσκευές αποστέλλουν πληροφορίες με ένα προεπιλεγμένο όνομα χρήστη και κωδικό και αρκετοί χρήστες μπορεί να μην τα έχουν αλλάξει. Ως αποτέλεσμα, η χρήση προεπιλεγμένων ονομάτων χρήστη και κωδικών αποτελεί έναν από τους κορυφαίους παράγοντα επιθέσεων εναντίων των συσκευών ΙοΤ. Πολλές από αυτές τις συσκευές επίσης περιέχουν τρωτά σημεία που σχετίζονται με ελλιπείς ενημερώσεις, τα οποία ο χρήστης δε γνωρίζει.

Ενώ αυτή η συγκεκριμένη απειλή εστιάζει σε υπολογιστές, router και IP κάμερες, ο ιός θα μπορούσε να αναβαθμιστεί έτσι ώστε να στοχεύει σε άλλες συσκευές IoT στο μέλλον, όπως οι συσκευές οικιακού αυτοματισμού και συσκευές τεχνολογίας που μπορούν να φορεθούν.

Εμποδίζοντας άλλους εισβολείς

Ο ιός εμποδίζει άλλους εισβολείς ή ιούς, όπως ο Linux.Aidra, από το να στοχεύουν τις συσκευές που έχουν ήδη παραβιαστεί από το Linux.Darlloz. Ο δημιουργός του κακόβουλου λογισμικού προσάρτησε αυτό το χαρακτηριστικό στον ιό όταν κυκλοφόρησε τον περασμένο Νοέμβριο.

Στις αρχές του χρόνου υπήρχαν αναφορές σχετικά με μία πίσω θύρα σε μία σειρά router. Χρησιμοποιώντας την πίσω θύρα, οι εισβολείς μπορούσαν να αποκτήσουν πρόσβαση στα router απομακρυσμένα, επιτρέποντάς τους να παραβιάσουν το δίκτυο του χρήστη. Για το δημιουργό του Darlloz, αυτό αποτελούσε μία απειλή, επομένως πρόσθεσαν μία λειτουργία που θα εμποδίζει την πρόσβαση στην υποδοχή της πίσω θύρας δημιουργώντας ένα νέο κανόνα για το firewall στις μολυσμένες συσκευές για να εξασφαλίσουν ότι κανένας άλλος εισβολέας δεν θα μπορεί να αποκτήσει πρόσβαση στην ίδια πίσω θύρα.

Μόλυνση συστημάτων

Ορισμένα στατιστικά για τη μόλυνση από τον ιό:

  • Εντοπίστηκαν 31.716 διευθύνσεις ΙΡ οι οποίες είχαν μολυνθεί από τον Darlloz.
  • Oι μολύνσεις Darlloz επηρέασαν 139 περιοχές.
  • Εντοπίστηκαν 449 δακτυλικά αποτυπώματα OS από μολυσμένες διευθύνσεις IP.
  • 43% των μολύνσεων από τον Darlloz παραβίασαν υπολογιστές που περιείχαν Intel ή διακομιστές που χρησιμοποιούσαν Linux.
  • 38% των μολύνσεων Darlloz φαίνεται να έχουν επηρεάσει μία ποικιλία ΙοΤ συσκευών συμπεριλαμβανομένων των routers, κουτιά set-box, κάμερες IP και εκτυπωτές.

Οι πέντε περιοχές που αντιπροσώπευαν το 50% όλων των μολύνσεων από τον Darlloz ήταν η Κίνα, οι ΗΠΑ, η Νότια Κορέα, η Ταιβάν και η Ινδία. Ο λόγος για το υψηλό ποσοστό μολύνσεων σΆ αυτές τις χώρες είναι πιθανότερο να οφείλεται στα μεγάλα ποσά χρηστών Internet ή στη διείσδυση των IoT συσκευών.

Μολυσμένες συσκευές IoT

Οι καταναλωτές ίσως δεν συνειδητοποιούν ότι οι ΙοΤ συσκευές τους μπορεί να προσβληθούν από κακόβουλο λογισμικό. Ως αποτέλεσμα, αυτός ο ιός κατάφερε να προσβάλλει 31.000 υπολογιστές και ΙοΤ συσκευές σε τέσσερις μήνες και ακόμα εξαπλώνεται. Περιμένουμε ότι ο δημιουργός θα συνεχίσει να αναβαθμίζει αυτό τον ιό με νέες λειτουργίες καθώς το τοπίο της τεχνολογίας αλλάζει διαρκώς. Η Symantec θα συνεχίσει να παρακολουθεί στενά αυτή την απειλή.

Μέτρα

  • Εφαρμόστε security patches για όλο το λογισμικό που εγκαθιστάτε σε υπολογιστές ή συσκευές IoT
  • Να αναβαθμίζετε το firmware σε όλες τις συσκευές
  • Να αλλάζετε τους προεπιλεγμένους κωδικούς σε όλες τις συσκευές
  • Να εμποδίζετε τη σύνδεση στη θύρα 23 ή 80 από εξωτερικά αν δεν απαιτείται