Linux-троянец, заражающий роутеры

Специалисты компании «Доктор Веб» исследовали троянскую программу, способную инфицировать роутеры с архитектурой ARM, MIPS и PowerPC, работающие под управлением Linux. Троянец получил наименование Linux.PNScan.1. С помощью этой программы и других загружаемых ею на атакованный маршрутизатор опасных приложений злоумышленники выполняют взлом систем управления реляционными базами данных PHPMyAdmin, а также подбор логинов и паролей для доступа по протоколу SSH к различным устройствам и серверам.

Вирусные аналитики предполагают, что изначально троянец устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а последствии его стали загружать и устанавливать на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственное назначение Linux.PNScan.1 – взлом роутера и загрузка на него скрипта, который устанавливает на маршрутизатор бэкдоры, собранные в соответствии с используемой роутером архитектурой: ARM, MIPS или PowerPC. В скрипте предусмотрена загрузка бэкдора и на случай, если с использованием уязвимости shellshock удастся взломать компьютер с архитектурой Intel x86.

При запуске Linux.PNScan.1 используются входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. При проведении атак используются RCE-уязвимости для запуска соответствующего sh-сценария: так, для роутеров Linksys применяется атака на уязвимость в протоколе HNAP (Home Network Administration Protocol) и уязвимость CVE-2013-2678, при этом с целью авторизации троянец пытается подобрать сочетание логина и пароля по специальному словарю. Кроме того, Linux.PNScan.1 активно использует уязвимость ShellShock (CVE-2014-6271) и уязвимость в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.

Загружаемые троянцем Linux.PNScan.1 вредоносные приложения детектируются антивирусным ПО Dr.Web как Linux.BackDoor.Tsunami.133 и Linux.BackDoor.Tsunami.144. Программы регистрируют себя в списке автозагрузки атакованного маршрутизатора, после чего, выбрав из списка адрес управляющего сервера, подключаются к нему с использованием протокола IRC. Это многофункциональные бэкдоры, способные осуществлять DDoS-атаки различных типов (в том числе ACK Flood, SYN Flood ,UDP Flood), а также выполнять поступающие от злоумышленников команды. Одна из таких команд – директива загрузки утилиты Tool.Linux.BrutePma.1, с использованием которой взламываются административные панели систем управления реляционными базами данных PHPMyAdmin. В процессе запуска этот скрипт получает диапазон IP-адресов и два файла, в одном из которых расположен словарь для подбора пары login:password, а в другом — путь к административной панели PHPMyAdmin.

С использованием команд, отдаваемых инфицированным роутерам, распространяется и троянец Linux.BackDoor.Tsunami.150. Этот бэкдор имеет широкий функционал подбора паролей для несанкционированного доступа к удаленным узлам по протоколу SSH. В случае успеха этой операции Linux.BackDoor.Tsunami.150 либо выполняет сценарий для загрузки бэкдора Linux.BackDoor.Tsunami.133 и Linux.BackDoor.Tsunami.144, либо собирает информацию об ОС устройства и направляет ее злоумышленникам. Технически бэкдоры семейства Linux.BackDoor.Tsunami могут использоваться для доставки любых троянских программ.

Существует еще одна модификация данного троянца, добавленная в базы «Доктор Веб» под именем Linux.PNScan.2, в которой упор сделан на получение несанкционированного доступа к удаленным устройствам, где применяются стандартные пароли. Троянец генерирует список IP-адресов и пытается соединиться с ними по протоколу SSH, используя сочетание логина и пароля root;root; admin;admin; или ubnt;ubnt. В случае успеха он помещает в папку "/tmp/.xs/" атакованного устройства набор своих файлов (существуют наборы файлов для архитектур ARM, MIPS, MIPSEL, x86) и запускает их. Периодически Linux.PNScan.2 вновь опрашивает устройства по списку, и если они оказались вылеченными, заражает их снова.

На используемом злоумышленниками сервере аналитики компании «Доктор Веб» обнаружили другие вредоносные программы, в числе которых троянцы Trojan.Mbot и Perl.Ircbot.13, программа для взлома серверов SMTP с использованием метода грубой силы (брутфорс) Tool.Linux.BruteSmtp.1. Там же была найдена программа для массовой рассылки спама Perl.Spambot.2, которая использовалась для отправки фишинговых сообщений якобы от имени платежной системы VISA.