Новый троян с неизвестной целью превращает Linux-устройства в «кирпичи»

Ответить на тему
 
Автор Сообщение

admin ®

Пол: Женский

Стаж: 1 год 5 месяцев

Сообщений: 103

Откуда: USSR, Tyumen

Создавать темы 08-Янв-2017 11:45

[Цитировать]

Сразу два новых трояна атакуют устройства «интернета вещей» с деструктивными последствиями. Одна из этих вредоносных программ - Brickerbot - целенаправленно стремится вывести зараженные устройства из строя. Второй троян менее агрессивен, но, тем не менее, тоже способен на деструктивные действия. Хотя первичное его назначение - создать ботнет.
Ботнет Amnesia сформирован из IoT-устройств, атакованных одноименной вредоносной программой, которая эксплуатирует уязвимость в цифровых видеорекордерах китайской компании TVT Digital. Более 70 разных вендоров продают эти устройства по всему миру.
Год назад исследователь Ротем Кернер (Rotem Kerner) обнаружил в их прошивке уязвимость, позволяющую удаленно запускать произвольный код. В Сети по-прежнему сохраняется огромное количество этих устройств: как отмечают исследователи из Palo Alto Networks, на сегодняшний день в Сети насчитывается около 227 тыс. устройств, уязвимых перед Amnesia. Никаких патчей вендоры так и не выпустили.
Сам по себе этот троян представляет собой усовершенствованный вариант более ранней вредоносной программы под Linux Tsunami. Ключевое отличие - «нетерпимость» к виртуальным машинам. Если Amnesia обнаруживает свой запуск в виртуальной среде - VirtualBox, VMWare или QEMU, она самоудаляется, заодно пытаясь уничтожить несколько директорий, включая корневой каталог операционной системы.
«Мы считаем, что автор Amnesia пытался таким образом нейтрализовать «песочницы» под Linux, используемые для анализа вредоносного ПО, и помешать исследователям, - об этом свидетельствует вписанное в код слово fxxkwhitehats, не имеющее никакого функционального значения», - говорится в публикации Palo Alto.
«Нефункциональное слово» - это слабо завуалированное ругательство в адрес экспертов по безопасности «белых шляп».
Эксперты указывают, что реальные проблемы троян может вызвать при попадании на виртуальные Linux-серверы. Если бэкапов нет, то весь виртуальный хост может быть уничтожен.
В настоящее время, как утверждают эксперты, ботнет неактивен, но может «проснуться» в любой момент. Ввиду полного отсутствия патчей, есть только два способа защититься от Amnesia: заблокировать доступ к DVR-устройствам извне и перекрыть возможность исходящего соединения к командному серверу ботнета. Адрес этого сервера «зашит» в код трояна, что несколько облегчает задачу.
Другой троян Brickerbot относится к редкой ныне разновидности деструктивного вредоносного ПО, единственное назначение которого - выводить из строя атакуемые устройства.
Как отмечают эксперты фирмы Radware, BrickerBot существует в двух вариантах: первый ищет устройства, использующие два конкретных типа Flash-накопителей, второй - пытается вывести из строя устройства с другими типами запоминающих устройств.
Под угрозой IoT-устройства на базе Linux
Обе разновидности трояна не пытаются эксплуатировать никаких уязвимостей, кроме слабых комбинаций логинов-паролей: BrickerBot производит брутфорс-атаку, перебирая множество возможных вариантов. В случае успеха, BrickerBot выполняет серию операций, которые выводят из строя накопитель данных, отключают устройство от интернета и удаляет все файлы на нем.
Кто и зачем это делает, остается загадкой.
Как отмечают эксперты Radware, атаки со стороны BrickerBot 1 и 2 начались примерно в одно и то же время 20 марта 2017 г. Атаки со стороны первого варианта трояна с тех пор прекратились, а вот BrikerBot 2 по-прежнему активен.
Защитить IoT-устройство от BrickerBot можно посредством отключения Telnet-доступа и установкой не поддающихся простому перебору паролей. Сохранять заводские пароли не стоит.
«Вредоносное ПО, которое выводит из строя оборудование, - сегодня достаточно редкое явление, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Киберпреступнники в массе своей давно переключились с вандализма на зарабатывание денег. В данном случае мотивы злоумышленников выглядят очень специфично. Либо это начало какой-то многоходовой целевой атаки, либо действительно «хулиганство» в отношении пользователей, использующих заводские дефолтные пароли».
IoT-устройства с нарастающей интенсивностью притягивают интерес киберзлоумышленников, поскольку защищенность «интернета вещей» находится на довольно низком уровне, и вдобавок сами пользователи демонстрируют удручающую «беззаботность» в вопросах защиты своих устройств.
-
===========================================================================
===========================================================================
-
Крупнейший слив WikiLeaks
*
ЦРУ читали WhatsApp, Telegram и Signal на мобильных устройствах. Трафик и сервера были вскрыты, возможно без особых усилий и благодаря наличию у них огромного числа ДЫР и в большей степени, хранением переписки на своих серверах.
Сайт WikiLeaks, известный своими разоблачениями, опубликовал очередной архив документов. По мнению основателя сайта Джулиана Ассанжа, эти документы доказывают работу Центрального разведывательного управления (ЦРУ) США по созданию программного обеспечения для взлома смартфонов, компьютеров и телевизоров, а так же для обхода шифрования в мессенджерах WhatsApp и Telegram.
Напомним.
Программа мессенджер PrivalSystems не работает с серверами и никаких данных следовательно не оставляет.
В средствах авторизации, отсутствует как НОМЕР МОБИЛЬНОГО ТЕЛЕФОНА (это как основное ЗЛО), так и какие-либо дыры в безопасности, человеческого фактора (простые пароли, набор цифр дней рождений, разные клавиатурные "композиции"), аналогичность логина/пароля. И другие непредумышленные пакости.
*
==========================================================================================
==========================================================================================
*
В Instagram у 1,5 миллиона пользователей могли украсть пароли
Дата: 13 марта 2017 г. 21:49:05
По мнению специалистов, на сегодняшний день больше 1,5 миллионов юзеров подверглись кибератаке! Приложения по раскрутке аккаунтов в Instagram эксперты назвали "черной лошадкой". На первый взгляд, ничего подозрительного в подобных программах нет, однако при установке они запрашивают логин и пароль.
*
*
[Профиль] [ЛС]
Показать сообщения:    
Ответить на тему

Текущее время: 25-Апр 04:42

Часовой пояс: UTC ± 0



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы