Исследователи антивирусной компании Dr.Web обнаружили вредоносную активность, угрожающую владельцам плат Raspberry Pi, при этом большую опасность она представляет для старых моделей, таких как Pi 2 и более ранних. Особенность вредоноса Linux.MulDrop.14 состоит в том, что он вынуждает одноплатные компьютеры заниматься добычей криптовалют. Как пишет ZDNet, в данном случае речь идёт не о биткоине, а о его производных. Дело в том, что для майнинга требуются большие вычислительные ресурсы, тогда как Raspberry Pi для этого явно не приспособлена.
Linux.MulDrop.14 представляет из себя bash-скрипт, в «теле» которого находится программа-майнер. Она запакована при помощи утилиты сжатия gzip, а её код зашифрован в формате base64. При попадании на компьютер жертвы вредонос меняет на зараженном устройстве пароль на «\$6\$U1Nu9qCp\$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1», затем распаковывает и запускает софт для добычи криптовалют. Но этим его активность не ограничивается: одновременно в сетевом окружении запускается постоянный поиск узлов с открытым портом 22. Обнаружив их, вирус соединяется с ними по протоколу SSH и пытается запустить на них свою копию.
Важно отметить, что Linux.MulDrop.14 атакует пользователей Raspberry Pi, которые используют установленные производителем логин и пароль по умолчанию — «pi» и «raspberry» соответственно. Сообщается, что для обнаружения открытых портов злоумышленниками используется однопакетный быстрый сканер сети Zmap и утилита sshpass. По словам исследователей, хакеры неплохо осведомлены о деятельности антивирусных компаний и умеют обходить так называемые серверы-ловушки (honeypot), предназначенные для обнаружения следов взломщиков или прочей хакерской деятельности.
Raspberry Pi Foundation, которая занимается производством плат, в комментарии изданию сообщила, что в конце прошлого года ею было выпущено обновление для ОС Raspbian, которое перевело первоначальную настройку SSH-порта Pi 2 и других ранних моделей в статус «отключено». В числе прочего обновление предусматривало обязательную смену заводских логина и пароля на пользовательские. Pi Foundation подчеркнула, что своевременное обновление одноплатных ПК должно уберечь пользователей от угрозы заражения Linux.MulDrop.14. Тем не менее, количество пользователей, которые проигнорировали апдейт, может исчисляться миллионами, говорит разработчик Raspberry Pi. Продажи плат подтверждают эти слова: на сегодняшний день реализовано свыше 12,5 млн. плат.
Что касается типов криптовалют, которые представляют интерес для хакеров, то одной из них может быть Monero. Последняя принимается сбытчиками наркотиков в «тёмном» Интернете. Dr.Web уже сталкивалась с нелегальной добычей криптовалют. В 2014 г. компания обнаружила, что для майнинга Dogecoin и Litecoin использовался Android-ботнет.
В прошлом месяце специалисты другой исследовательской компании, Proofpoint, обнаружили ещё один криптовалютный майнер, который занимается преимущественно добычей Monero — он называется Adylkuzz. По данным компании, вирус использует точно такой же механизм распространения, как и WannaCry: сканирует SMB-порты, применяет эксплойт ETERNALBLUE и заражает уязвимые системы без ведома пользователей. В отличие от WannaCry, Adylkuzz не привлек к себе такого внимания, поскольку заметить заражение в его случае намного сложнее. Единственные симптомы, на которые может обратить внимание пострадавший, это замедление работы ПК, так как майнер оттягивает на себя ресурсы системы.