Компания «Доктор Веб» собрала статистику по наиболее распространенным ныне Linux–угрозам, в том числе представляющим опасность для интернета вещей. Это исследование показывает, что чаще всего киберпреступники устанавливают на скомпрометированные девайсы троянцев для проведения DDoS–атак.
Под управлением Linux работают различные бытовые устройства: ТВ–приставки, сетевые хранилища, роутеры, камеры видеонаблюдения, многие из которых используются с настройками по умолчанию, что делает их легко доступными для взлома.
Компания «Доктор Веб» собрала статистику по наиболее распространенным ныне Linux–угрозам, в том числе представляющим опасность для интернета вещей.
На данный момент основной задачей киберпреступников, распространяющих троянцев для интернета вещей, является создание ботнетов для осуществления DDoS–атак, однако некоторые троянцы применяются для использования инфицированного устройства в качестве прокси–сервера. С середины сентября 2016 года специалисты «Доктор Веб» зафиксировали 11 636 атак на различные Linux–устройства, из них 9 582 осуществлялось по протоколу SSH и 2054 — по протоколу Telnet. Наиболее часто злоумышленники загружали на взломанные устройства 15 различных видов вредоносных программ, большинство из которых относится к семействам Linux.DownLoader, Linux.DDoS и Linux.BackDoor.Fgt.
Наиболее распространенной вредоносной программой согласно этой статистике оказался троянец Linux.Downloader.37, предназначенный для проведения DDoS–атак. Среди Linux–угроз встречаются также представители семейств Linux.Mrblack, Linux.BackDoor.Gates, Linux.Mirai, Linux.Nyadrop, Perl.Flood и Perl.DDoS – с их помощью злоумышленники тоже могут выполнять атаки на отказ в обслуживании. Больше всего на атакованных Linux–устройствах было обнаружено различных модификаций Linux.BackDoor.Fgt. Существуют версии этого троянца для архитектур MIPS, SPARC, m68k, SuperH, PowerPC и других. Linux.BackDoor.Fgt также предназначен для организации DDoS–атак.
Все эти вредоносные программы киберпреступники загружают на устройства, подобрав к ним логин и пароль и подключившись по протоколам Telnet или SSH. Так, по Telnet злоумышленники чаще всего пытаются соединиться с атакуемым узлом с использованием логина ‘root’, а по SSH — ‘admin’:
В октябре для установки Linux.Mirai начал использоваться троянец семейства Linux.Luabot. Также во второй половине сентября аналитики «Доктор Веб» фиксировали атаки с использованием троянца Linux.Nyadrop.1, об обнаружении которого сообщили авторы блога MalwareMustDie. Исходя из используемых при проведении атак сочетаний логина и пароля можно сделать вывод, что одной из целей злоумышленников были роутеры производства компании TP–Link. Троянец Linux.Nyadrop.1. имеет размер всего лишь 621 байт и предназначен для установки на скомпрометированное устройство других троянцев.