Robak Moose zagraża routerom i urządzeniom IoT na całym świecie

28 maja, 2015

Analitycy malware z laboratorium antywirusowego ESET odkryli robaka przeznaczonego dla systemów Linux. Atakuje on modemy, routery i inne urządzenia IoT napędzane systemem spod znaku pingwina. Zadaniem robaka Łoś (ang. Moose) jest przyłączanie routerów z otwartą usługą telnet do botnetu, dzięki któremu przestępcy mogą wydawać zdalne polecenia przy pomocy serwera C&C. Jest to więc doskonała sytuacja, aby wreszcie zrewidować zabezpieczenia swojego routera, a także na wszelki wypadek ustawienia adresów DNS.

Zainfekować urządzenie jest bardzo łatwo o ile to umożliwia zdalnie połączyć się z zewnątrz przy pomocy protokołu telnet. Wystarczy, że haker skorzysta z darmowych narzędzi do przeszukiwania routerów w sieci Internet oraz spróbuje zalogować się fabrycznymi danymi dostępowymi – najczęściej admin/admin lub skorzysta z narzędzi do ataków słownikowych (ang. brute-force). 

moose diagram

W przedstawionym raporcie eksperci wskazują na unikalne funkcjonalności robaka. Haker po zalogowaniu się do urządzenia instaluje na nim złośliwy kod, który pozwala mu na zmianę ustawień serwerów DNS, co może skutkować atakami MITM oraz podstawianiem stron phishigowych i hostujących złośliwe oprogramowanie.

Jednak robak „Łoś” został stworzony do innego celu. Po zainstalowaniu się zaczyna obserwować ruch przechodzący przez router z przeglądarek internetowych i aplikacji mobilnych, który może być przekazywany do nieszyfrowanych stron wykorzystując możliwości sieci społecznych Instagram, Twitter, Facebook, YouTube, Vine i innych. Przechwycone informacje z ciasteczek służą do:

  • zakładania fałszywych kont na w/w serwisach społecznościowych
  • „polubienia” tych kont przez prawdziwe konta użytkowników

Dodatkowo robak w poszukiwaniu innych routerów, kamer IP, urządzeń IoT, które mógłby zostać zainfekowane i dołączone do sieci botnet skanuje sieć lokalną oraz pulę adresową ISP.
Według ekspertów z ESET, do tej pory głównymi ofiarami są routery producentów Actiontec, HIK Vision, Netgear, Synology, TP-Link, ZyXEL i Zhone, w których już zidentyfikowano to zagrożenie. Tylko przez ostatni miesiąc do botnetu zostało dołączonych blisko 700 urządzeń. 

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]