Сетевой червь в «Интернете вещей»

По сообщению корпорации Symantec, обнаружена новая разновидность червя Linux.Darlloz, нацеленного на так называемый «Интернет вещей» (Internet of Things) – роутеры и сет-топы (ресиверы цифрового телевидения). Специалисты обнаружили более 30 тыс. устройств, подключенных к Интернету и зараженных этим червем. Кроме того, эксперты Symantec выяснили, что задача новой версии червя – добыча виртуальной валюты.

Червь под названием Linux.Darlloz впервые был обнаружен в ноябре прошлого года. По данным Symantec, его зона поражения – «Интернет вещей», а жертвой вредоносной программы являются компьютеры архитектуры Intel x86, а также ARM, MIPS и Power PC, которые обычно встречаются в роутерах и сет-топах. В января этого года появилась новая разновидность этой программы. Судя по результатам анализа, автор червя постоянно совершенствует код и добавляет новые функции, особенно в плане монетизации вируса.

Данная версия червя нацелена на добычу («майнинг») криптовалюты: заражая компьютеры архитектуры Intel новой версией вируса, червь устанавливает в системе cpuminer − программу для майнинга виртуальной валюты. Затем зараженный компьютер начинает добывать одну из двух малопопулярных криптовалют − Mincoin или Dogecoin. К концу февраля злоумышленнику удалось таким образом добыть 42438 Dogecoin и 282 Mincoin. Это относительно небольшие суммы для киберпреступления (примерно 50 и 150 долл. соответственно), поэтому в Symantec полагают, что вирусописатель продолжит совершенствовать программу для повышения монетизации.

Эта новая функция активируется только на компьютерах с архитектурой Intel x86, не затрагивая более слабые сетевые устройства. Это связано с тем, что майнинг требует значительных вычислительных ресурсов, которыми такие устройства не располагают.

Причина того, что зараженные устройства не занимаются самой ценной криптовалютой Bitcoin, состоит в том, что Mincoin и Dogecoin используют алгоритм шифрования, позволяющий успешно вести майнинг и на домашних компьютерах, в то время как для успешной и быстрой добычи Bitcoin уже требуется чип ASIC.

Исходная версия Darlloz имела 9 комбинаций логин − пароль для роутеров и сет-топов. Последняя версия имеет 13 таких комбинаций, которые также работают и для IP-камер, обычно используемых для видеонаблюдения.