Linux-роутеры под угрозой - для их же блага

Symantec сообщает о необычной угрозе «Linux.Wifatch», которая повышает безопасность старых маршрутизаторов Linux.
Между тем, новый ботнет XOR представляет смертельную угрозу.

Возможно, Linux по-прежнему является самой защищенной ОС общего назначения, но по мере того, как ее присутствие растет на рынке встраиваемых систем и Интернета вещей (IoT), оно все чаще подвергается угрозе со стороны вредоносных программ.
Маршрутизаторы на основе Linux с устаревшей микропрограммой (см. Ниже) и беспроводные устройства с поддержкой домашних автоматов кажутся особенно уязвимыми.

1 октября Mario Ballano из Symantec опубликовал предупреждение о странном фрагменте инвазивного кода под названием Linux.Wifatch, который подключается к маршрутизаторам Linux.
Загвоздка в том, что, похоже, она помогает устройствам повысить свою безопасность, распространяя обновления угроз.


Linux.Wifatch сообщение

(щелкните изображение, чтобы увеличить; источник: Symantec)

Вирусное программное обеспечение Linux.Wifatch было впервые обнаружено в прошлом году исследователем безопасности, который заметил, что его маршрутизатор был захвачен и превращен в «зомби, подключенного к одноранговой сети зараженных устройств». Обновленная версия, появившаяся в апреле этого года год написан в основном на Perl.
Код Wifatch загружает свой собственный интерпретатор Perl на маршрутизатор, а затем пытается «защитить скомпрометированные устройства» путем устранения заражений вредоносным ПО и распространения обновлений угроз на все одноранговые подключенные маршрутизаторы.
Это также оставляет сообщение владельцу, чтобы обновить прошивку.

Linux.Wifatch не запутывает код, оставляя его открытым для проверки.
Хотя он включает в себя несколько бэкдоров, которые могут быть «использованы автором для выполнения потенциально злонамеренных действий», в них включены криптографические подписи, предназначенные для ограничения изменений создателем вредоносного ПО, пишет Ballano.
Вредоносная программа может быть удалена путем перезагрузки устройства, но нет способа остановить повторное вторжение, если вы не обновите программное обеспечение и прошивку вашего устройства.

По словам Баллано, Linux.Wifatch, по-видимому, использует устройства с подключениями Telnet со слабыми учетными данными.
По оценкам Symantec, десятки тысяч устройств были заражены, 83 процента из которых работают на процессорах ARM.
Треть зараженных устройств находятся в Китае, за ним следуют Бразилия (16 процентов), Мексика и Индия (9 процентов каждый), а также Турция и Вьетнам (7 процентов каждый).
США представляют 5 процентов Linux.Wifatch зараженных устройств.

XOR Botnet делает 150 Gpps DDOS

Сообщение от 1 октября в блоге Джека Уоллена предупреждает о гораздо более серьезном ботнете, распространяемом встроенными системами Linux Linux с устаревшей прошивкой.
По словам Уоллена, бот-сеть с распределенным отказом в обслуживании (DDoS) распространяется через трояна XOR и способна быстро нанести вред веб-сайту с помощью DDoS-атаки со скоростью 150 Гбит / с (гига-пакетов в секунду).

Как правило, ботнет преследует маршрутизаторы со старыми прошивками, которые не готовы к современным атакам DDOS.
Он внедряется в SSH-доступ, используя слабые пароли, затем загружает больше файлов и ищет другие XOR-зараженные устройства.

Как отмечает Валлен, в последних выпусках ядра Linux добавлен защитный код, который, вероятно, защитит вас от такой атаки, даже если вы используете «пароль» в качестве пароля.
Тем не менее, большинство низкоуровневых маршрутизаторов не имеют OTA-обновлений для своих прошивок или даже уведомляют пользователей об обновлениях, которые можно загрузить, если они вообще доступны.
То же самое касается многих других встроенных устройств на основе Linux и IoT.

Валлен предлагает пользователям проверить свои маршрутизаторы, получив доступ к оболочке и выполнив команду «uname -r». Он попробовал один современный маршрутизатор Asus и обнаружил ядро ​​Linux 2.6.22.19, выпущенное в 2009 году и более не поддерживаемое разработчиками ядра Linux.
Он добавляет, что даже в прошивке DD-WRT используются старые ядра.

Многие более дорогие маршрутизаторы, такие как Google OnHub за 200 долларов, считаются выгодными инвестициями, учитывая возможность атак на маршрутизаторы Linux.
Устройства домашней автоматизации обеспечивают еще одну цель, особенно для похитителей личных данных или тех, кто хочет взломать вашу систему безопасности, чтобы взломать и ограбить ваш дом.
Google Nest продвигает свой стек Weave IoT, предлагая ключи шифрования для конкретных приложений, поэтому даже если злоумышленники взломают одно устройство, они не получат автоматического доступа к другим, таким как дверной замок.