Τέλος του 2013, η Symantec ανακάλυψε έναν ιό τύπου worm Internet of Things (IoT) με το όνομα Linux.Darlloz. Ο ιός έχει ως στόχο υπολογιστές που λειτουργούν με Intel x86 αρχιτεκτονικές αλλά και αρχιτεκτονικές ARM, MIPS και PowerPC, που συνήθως εντοπίζονται σε routers και σε set-top συσκευές. Μετά την αρχική ανακάλυψη του Linux.Darlloz, η εταιρεία ανακάλυψε μία νέα παραλλαγή του ιού αρχές του έτους, ενώ μετά την περαιτέρω ανάλυσή του αποδείχτηκε ότι ο δημιουργός του ιού συνεχώς αναβαθμίζει τον κωδικό και προσθέτει νέα χαρακτηριστικά , εστιάζοντας ιδιαιτέρως στο κέρδος χρημάτων μέσω του ιού. Ερευνώντας ολόκληρο το πεδίο ΙΡ διευθύνσεων του διαδικτύου το Φεβρουάριο, η Symantec ανακάλυψε ότι υπήρχαν περισσότερες από 31.000 συσκευές που είχαν μολυνθεί από τον Linux.Darlloz.
Στόχος το κέρδος
Η Symantec ανακάλυψε λοιπόν ότι ο τωρινός στόχος του ιού είναι το mining ψηφιακού συναλλάγματος. Μόλις ένας υπολογιστής που λειτουργεί με Intel αρχιτεκτονική μολυνθεί από μία νέα παραλλαγή, ο ιός εγκαθιστά ένα cpuminer, ένα ανοιχτό λογισμικό που λειτουργεί ως πηγή εξόρυξης νομισμάτων. Ο ιός έπειτα αρχίζει την εξόρυξη Minocoins ή Dogecoing από τους μολυσμένους υπολογιστές, ενώ όπως αποδείχτηκε στο τέλος του προηγούμενου Φεβρουαρίου, ο εισβολέας απέσπασε 42.438 Dogecoins (αξίας 46 δολαρίων) και 282 Mincoins (περίπου 42.438 Dogecoins). Ποσά σχετικά χαμηλά για τη μέση δραστηριότητα ηλεκτρονικής εγκληματικότητας, οπότε και η Symantec αναμένει ότι ο εισβολέας θα συνεχίσει να εξελίσσει την απειλή του για να αυξήσει τα έσοδα.
Το νέο χαρακτηριστικό εξόρυξης νομισμάτων του ιού επηρεάζει μόνο υπολογιστές που λειτουργούν με Intel x86 αρχιτεκτονικές και η Symantec δεν έχει εντοπίσει ακόμα το αντίκτυπό του σε ΙοΤ συσκευές*, καθώς οι τελευταίες απαιτούν μεγαλύτερη μνήμη και ισχυρό CPU για το mining νομισμάτων.
O ιός φαίνεται να στοχεύει στα Mincoins και τα Dogecoins, αντί να εστιάζει στα διάσημα και πιο διαδεδομένα μέσα συναλλαγής Bitcoin. Ο λόγος γι’ αυτό είναι ότι τα Mincoins και τα Dogecoins χρησιμοποιούν τον αλγόριθμο scrypt, ο οποίος μπορεί να εξορύξει επιτυχώς από οικιακά PC ενώ τα Bitcoin απαιτούν ASIC chips για να επιφέρουν κέρδος.
Νέοι στόχοι
Η αρχική εκδοχή του Darlloz έχει εννέα συνδυασμούς από ονόματα χρηστών και κωδικούς για τα routers και τις set-top συσκευές. Η πιο πρόσφατη εκδοχή τώρα έχει 13 από αυτούς τους συνδυασμούς πιστοποίησης εισόδου, οι οποίοι επίσης λειτουργούν για κάμερες ΙΡ, που χρησιμοποιούνται συνήθως για απομακρυσμένη επίβλεψη κτιρίων.
Μπλόκο σε άλλους ιούς
Ένα ακόμα ενδιαφέρον στοιχείο είναι ότι ο ιός εμποδίζει άλλους εισβολείς ή ιούς, όπως ο Linux.Aidra, από το να στοχεύουν τις συσκευές που έχουν ήδη παραβιαστεί από το Linux.Darlloz. Ο δημιουργός του κακόβουλου λογισμικού προσάρτησε αυτό το χαρακτηριστικό στον ιό όταν κυκλοφόρησε τον περασμένο Νοέμβριο. Μάλιστα, στις αρχές του χρόνου υπήρχαν αναφορές σχετικά με μία πίσω θύρα σε μία σειρά router. Χρησιμοποιώντας την πίσω θύρα, οι εισβολείς μπορούσαν να αποκτήσουν πρόσβαση στα router απομακρυσμένα, επιτρέποντάς τους να παραβιάσουν το δίκτυο του χρήστη. Για το δημιουργό του Darlloz, αυτό αποτελούσε μία απειλή, επομένως πρόσθεσαν μία λειτουργία που θα εμποδίζει την πρόσβαση στην υποδοχή της πίσω θύρας δημιουργώντας ένα νέο κανόνα για το firewall στις μολυσμένες συσκευές για να εξασφαλίσουν ότι κανένας άλλος εισβολέας δεν θα μπορεί να αποκτήσει πρόσβαση στην ίδια πίσω θύρα.
Ορισμένα στατιστικά για τη μόλυνση από τον ιό:
- Εντοπίστηκαν 31.716 διευθύνσεις ΙΡ οι οποίες είχαν μολυνθεί από τον Darlloz.
- Oι μολύνσεις Darlloz επηρέασαν 139 περιοχές.
- Εντοπίστηκαν 449 δακτυλικά αποτυπώματα OS από μολυσμένες διευθύνσεις IP.
- 43% των μολύνσεων από τον Darlloz παραβίασαν υπολογιστές που περιείχαν Intel ή διακομιστές που χρησιμοποιούσαν Linux.
- 38% των μολύνσεων Darlloz φαίνεται να έχουν επηρεάσει μία ποικιλία ΙοΤ συσκευών συμπεριλαμβανομένων των routers, κουτιά set-box, κάμερες IP και εκτυπωτές.
Οι πέντε περιοχές που αντιπροσώπευαν το 50% όλων των μολύνσεων από τον Darlloz ήταν η Κίνα, οι ΗΠΑ, η Νότια Κορέα, η Ταιβάν και η Ινδία. Ο λόγος για το υψηλό ποσοστό μολύνσεων σ’ αυτές τις χώρες είναι πιθανότερο να οφείλεται στα μεγάλα ποσά χρηστών Internet ή στη διείσδυση των IoT συσκευών.
Μολυσμένες συσκευές IoT
Οι καταναλωτές ίσως δεν συνειδητοποιούν ότι οι ΙοΤ συσκευές τους μπορεί να προσβληθούν από κακόβουλο λογισμικό. Ως αποτέλεσμα, αυτός ο ιός κατάφερε να προσβάλλει 31.000 υπολογιστές και ΙοΤ συσκευές σε τέσσερις μήνες και ακόμα εξαπλώνεται. Περιμένουμε ότι ο δημιουργός θα συνεχίσει να αναβαθμίζει αυτό τον ιό με νέες λειτουργίες καθώς το τοπίο της τεχνολογίας αλλάζει διαρκώς. Η Symantec θα συνεχίσει να παρακολουθεί στενά αυτή την απειλή.
Μέτρα
Τα μέτρα που προτείνει η Symantec για την αντιμετώπιση του ιού έχουν ως εξής:
- Εφαρμόστε security patches για όλο το λογισμικό που εγκαθιστάτε σε υπολογιστές ή συσκευές IoT
- Να αναβαθμίζετε το firmware σε όλες τις συσκευές
- Να αλλάζετε τους προεπιλεγμένους κωδικούς σε όλες τις συσκευές
- Να εμποδίζετε τη σύνδεση στη θύρα 23 ή 80 από εξωτερικά αν δεν απαιτείται
* Γιατί συσκευές IoT; Το Internet of Things σχετίζεται με τις συνδεδεμένες συσκευές όλων των ειδών. Ενώ πολλοί χρήστες μπορούν να βεβαιώσουν ότι οι υπολογιστές τους είναι ασφαλείς απέναντι σε επιθέσεις, ίσως να μην έχουν συνειδητοποιήσει ότι οι IoT συσκευές τους χρειάζεται επίσης προστασία. Αντίθετα με τους συνηθισμένους υπολογιστές, πολλές IoT συσκευές αποστέλλουν πληροφορίες με ένα προεπιλεγμένο όνομα χρήστη και κωδικό και αρκετοί χρήστες μπορεί να μην τα έχουν αλλάξει. Ως αποτέλεσμα, η χρήση προεπιλεγμένων ονομάτων χρήστη και κωδικών αποτελεί έναν από τους κορυφαίους παράγοντα επιθέσεων εναντίων των συσκευών ΙοΤ. Πολλές από αυτές τις συσκευές επίσης περιέχουν τρωτά σημεία που σχετίζονται με ελλιπείς ενημερώσεις, τα οποία ο χρήστης δε γνωρίζει.
Σχόλια