Începe războiul asupra Internetului lucrurilor: un virus a infectat peste 31.000 de dispozitive inteligente conectate, în patru luni

Virusul a a atacat Internetul lucrurilor

În luna noiembrie 2013, specialiştii Symantec au descoperit un program Worm denumit Linux Darlloz, care are drept scop atacul dispozitivelor conectate la Internet of Things (IoT).

Acest program maliţios afectează sisteme de calcul bazate pe arhitecturi Intel x86, inclusiv dispozitive operate pe arhitecturi ARM, MIPS, PowerPC, aparate tip router sau cutii set-top (de televiziune digitală prin cablu şi Internet). Ulterior versiunii din Noiembrie, a fost descoperită la mijlocul lunii ianuarie o nouă versiune a programului Worm Linux Darlloz. Autorul programului Worm actualizează permanent codul programului şi îi adaugă noi proprietăţi, în principal cu scopul obţinerii de bani în mod fraudulos prin folosirii acestuia.  

            Prin intermediul unei scanări integrale a adreselor IP de pe Internet în luna Februarie, au fost descoperite peste 31.000 de dispozitive infectate cu programul Worm Linux Darlloz.

Minare pentru bani

            În prezent, scopul programului maliţios Linux Darlloz este minarea pentru monedă virtuală. Odată infectat un computer care operează pe arhitectură Intel, noua variantă a Linux Darlloz instalează aplicaţia cpuminer, un soft open-source dedicat minării de monedă virtuală, apoi începe procedurile de minare a monedelor Mincoins sau Dogecoins de pe computerele infectate. Până la finele lunii Februarie 2014, atacatorul a minat 42.438 Dogecoins (echivalentul a  aproximativ 46 de dolari, la cursul de schimb valutar curent) şi 282 de Mincoins (echivalentul a 150 de dolari). Aceste sume minate sunt relativ scăzute în contextul mediei de infracţiuni virtuale, însă ne aşteptăm ca atacatorul să îşi dezvolte programul Worm pentru câştiguri mai consistente.

            Noile proprietăţi ale programului Worm minează deocamdată exclusiv computere care operează pe arhitectura Intel x86 şi nu am descoperit până acum dispozitive conectate la Internet of Things (IoT) afectate, mai ales că aceste dispozitive necesită mai multe resurse de memorie şi un procesor CPU avansat pentru minarea de monedă virtuală.

De ce Mincoin şi Dogecoin?

Programul Worm se adresează în principal minării monedelor Mincoin şi Dogecoin, deşi există monede mult mai valoroase cum ar fi, spre exemplu, Bitcoin. Motivul este faptul că Mincoin şi Dogecoin folosesc un algoritm care permite în continuare minarea cu succes de pe dispozitivele computere obişnuite, în timp ce Bitcoin necesită chip-uri speciale tip ASIC pentru o minare profitabilă.

De ce Internet of Things (IoT)?

Infrastructura Internet of Things conectează dispozitive de toate tipurile. Deşi mulţi utilizatori utilizează măsuri de securitate împotriva atacurilor informatice, dispozitivele IoT nu sunt întotdeauna securizate. Spre deosebire de computerele obişnuite, majoritatea dispozitivelor IoT dispun de măsuri de securitate standard, cu acces prin user şi parolă, care sunt rareori schimbate de utilizatori. Drept urmare, datele de acces standard sunt folosite de atacatori pentru a se infiltra pe dispozitive. În plus, multe dintre dispozitive au vulnerabilităţi încă neacoperite de soluţiile de securitate, aspecte care de multe ori nu sunt ştiute de consumatori.

Deşi programul Worm atacă în principal computerele obişnuite, folosite în mediul rezidenţial, router-ele, cutiile set-top sau camerele video pe bază de IP, Linux Darlloz poate fi actualizat pentru a se inflitra şi pe alte dispozitive IoT, dispozitive de control din locuinţă sau dispozitive purtabile.

Impactul Linux Darlloz  

Linux Darlloz blochează accesul altor atacatori sau programe Worm cum ar fi, spre exemplu, Linux Aidra. După ce infectează un dispozitiv, pentru a se răspândi, Darlloz iniţiază un server Web HTTP prin portul 58455. Acest server găzduieşte fişiere Worm şi permite oricui descărcarea de fişiere prin intermediul portului, folosind o solicitare tip HTTP GET. Astfel, specialiştii Symantec au căutat adresele de IP care deschid acest port şi găzduiesc programul Darlloz pe rute statice şi, pornind de la presupunerea că programul poate fi descărcat, au colectat amprentele sistemului de operare pe serverul-gazdă. Următoarele date statistice oferă o perspectivă asupra impactului programului Linux Darlloz:

-        Darlloz a infectat 31.716 adrese IP

-        Infectarea Darlloz afectează 139 regiuni

-        Au fost identificate 449 de amprente ale sistemului de operare în adresele de IP infectate

-        43% din infectările Darlloz compromit computere operate pe arhitecturi Intel şi servere Linux

-        38% din infectările Darlloz afectează o varietate de dispozitive IoT, printre care routere, cutii set-top, camere video IP şi imprimante

-        31% dintre atacuri vizează dispozitive din China, iar 30% din SUA, urmate de Coreea de Sud, Taiwan şi India, regiuni cu un număr mare de utilizatori de nternet şi o rată crescută a penetrării dispozitivelor IoT.

Dispozitive IoT infectate

Este posibil ca numeroşi utilizatorii să nu realizeze faptul că dispozitivele lor sunt infectate cu malware. În doar 4 luni, Darlloz a compromis peste 31.000 de computere şi dispozitive IoT, iar cifrele sunt în creştere. Este de aşteptat ca autorul acestui Malware să îşi actualizeze programul cu noi proprietăţi, iar Symantec monitorizează cu atenţie acţiunile acestei ameninţări.