SYMANTEC: Un program Worm a compromis 31.000 de dispozitive digitale în decurs de patru luni

În luna noiembrie 2013, reprezentanţii Symantec au descoperit un program Worm denumit Linux Darlloz, care are drept scop atacul dispozitivelor conectate la Internet of Things (IoT), potrivit unui comunicat de presă.

Acest program maliţios afectează sisteme de calcul bazate pe arhitecturi Intel x86, inclusiv dispozitive operate pe arhitecturi ARM, MIPS, PowerPC, aparate tip router sau cutii set-top (de televiziune digitală prin cablu şi Internet). Ulterior versiunii din Noiembrie, a fost descoperită la mijlocul lunii ianuarie o nouă versiune a programului Worm Linux Darlloz. Autorul programului Worm actualizează permanent codul programului şi îi adaugă noi proprietăţi, în principal cu scopul obţinerii de bani în mod fraudulos folosirii acestuia.

Prin intermediul unei scanări integrale a adreselor IP de pe Internet în luna Februarie, au fost descoperite peste 31.000 de dispozitive infectate cu programul Worm Linux Darlloz.

În prezent, scopul programului maliţios Linux Darlloz este minarea pentru monedă virtuală. Odată infectat un computer care operează pe arhitectură Intel, noua variantă a Linux Darlloz instalează aplicaţia cpuminer, un soft open-source dedicat minării de monedă virtuală, apoi începe procedurile de minare a monedelor Mincoins sau Dogecoins de pe computerele infectate. Până la finele lunii Februarie 2014, atacatorul a minat 42.438 Dogecoins (echivalentul a aproximativ 46 de dolari, la cursul de schimb valutar curent) şi 282 de Mincoins (echivalentul a 150 de dolari). Aceste sume minate sunt relativ scăzute în contextul mediei de infracţiuni virtuale, însă ne aşteptăm ca atacatorul să îşi dezvolte programul Worm pentru câştiguri mai consistente.

Noile proprietăţi ale programului Worm minează deocamdată exclusiv computere care operează pe arhitectura Intel x86 şi nu am descoperit până acum dispozitive conectate la Internet of Things (IoT) afectate, mai ales că aceste dispozitive necesită mai multe resurse de memorie şi un procesor CPU avansat pentru minarea de monedă virtuală.

Programul Worm se adresează în principal minării monedelor Mincoin şi Dogecoin, deşi există monede mult mai valoroase cum ar fi, spre exemplu, Bitcoin. Motivul este faptul că Mincoin şi Dogecoin folosesc un algoritm care permite în continuare minarea cu succes de pe dispozitivele computere obişnuite, în timp ce Bitcoin necesită chip-uri speciale tip ASIC pentru o minare profitabilă.

Infrastructura Internet of Things conectează dispozitive de toate tipurile. Deşi mulţi utilizatori utilizează măsuri de securitate împotriva atacurilor informatice, dispozitivele IoT nu sunt întotdeauna securizate. Spre deosebire de computerele obişnuite, majoritatea dispozitivelor IoT dispun de măsuri de securitate standard, cu acces prin user şi parolă, care sunt rareori schimbate de utilizatori. Drept urmare, datele de acces standard sunt folosite de atacatori pentru a se infiltra pe dispozitive. În plus, multe dintre dispozitive au vulnerabilităţi încă neacoperite de soluţiile de securitate, aspecte care de multe ori nu sunt ştiute de consumatori.

Deşi programul Worm atacă în principal computerele obişnuite, folosite în mediul rezidenţial, router-ele, cutiile set-top sau camerele video pe bază de IP, Linux Darlloz poate fi actualizat pentru a se inflitra şi pe alte dispozitive IoT, dispozitive de control din locuinţă sau dispozitive purtabile.

Linux Darlloz blochează accesul altor atacatori sau programe Worm cum ar fi, spre exemplu, Linux Aidra. După ce infectează un dispozitiv, pentru a se răspândi, Darlloz iniţiază un server Web HTTP prin portul 58455. Acest server găzduieşte fişiere Worm şi permite oricui descărcarea de fişiere prin intermediul portului, folosind o solicitare tip HTTP GET. Astfel, specialiştii Symantec au căutat adresele de IP care deschid acest port şi găzduiesc programul Darlloz pe rute statice şi, pornind de la presupunerea că programul poate fi descărcat, au colectat amprentele sistemului de operare pe serverul-gazdă.

Este posibil ca numeroşi utilizatori să nu realizeze faptul că dispozitivele lor sunt infectate cu malware. În doar 4 luni, Darlloz a compromis peste 31.000 de computere şi dispozitive IoT, iar cifrele sunt în creştere. Este de aşteptat ca autorul acestui Malware să îşi actualizeze programul cu noi proprietăţi, iar Symantec monitorizează cu atenţie acţiunile acestei ameninţări.