Analitycy zagrożeń z firmy ESET odkryli nowy złośliwy program atakujący routery z systemem Linuks. Zagrożenie może także rozprzestrzeniać się na urządzenia Internetu rzeczy (Internet of Things) wyposażone w ten sam system operacyjny. Linux/Remaiten próbuje zalogować się na urządzenie, a po udanej próbie pobiera na nie złośliwy program. Wiele zainfekowanych w ten sposób urządzeń tworzy botnet, czyli sieć komputerów wykonujących polecenia cyberprzestępców. Sieć tak zainfekowanych urządzeń ma na celu przeprowadzanie ataków DDoS na serwery znajdujące się w sieci.

Zagrożenie usiłuje nawiązać połączenia z losowymi adresami IP, a jeśli połączenie się powiedzie, Linux/Remaiten będzie starał się odgadnąć dane logowania do urządzenia (usługa Telnet). Po zalogowaniu na router, zagrożenie pobiera szkodliwy program, który przyłącza urządzenie do powstałego botnetu. Sieć zainfekowanych komputerów, może teraz wykonywać polecenia cyberprzestępców. Najczęściej polegają one na floodingu (wysyłaniu ogromnej ilości pakietów w bardzo krótkich odstępach czasu), pobieraniu i uruchamianiu plików czy skanowaniu sieci w poszukiwaniu kolejnych urządzeń, aby móc się do nich zalogować, a następnie zainfekować. Zasadniczą funkcjonalnością powstałego botnetu jest jednak przeprowadzanie ataków DDoS na serwery w sieci.

Nowe zagrożenie – Linux/Remaiten – łączy w sobie możliwości wcześniejszych trojanów: Tsunami (znanego także jako Kaiten) i Gafgyt. Dodano jednak do niego kilka udoskonaleń, m.in. funkcjonalność rozpoznawania architektury sprzętowej urządzenia (ARM, MIPS). Do tej pory analitycy zagrożeń z firmy ESET zidentyfikowali trzy nowe wersje tego zagrożenia.

źródło: ESET

Kan