Новый троянец для Linux заражает роутеры

Александр Панасенко 04 Августа 2015 - 13:57

Общее

Linux

Доктор Веб

Вредоносные программы

Трояны

...

Специалисты компании «Доктор Веб» исследовали опасную троянскую программу, способную инфицировать роутеры с архитектурой ARM, MIPS и PowerPC, работающие под управлением ОС Linux. Троянец получил наименование Linux.PNScan.1.

С помощью данной вредоносной программы и других загружаемых ею на атакованный маршрутизатор опасных приложений злоумышленники осуществляют взлом систем управления реляционными базами данных PHPMyAdmin, а также подбор логинов и паролей для несанкционированного доступа по протоколу SSH к различным устройствам и серверам.

Механизм распространения троянца Linux.PNScan.1 достаточно своеобразен: вирусные аналитики компании «Доктор Веб» предполагают, что изначально он устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с использованием уязвимости shellshock путем запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные роутеры троянцы семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным назначением Linux.PNScan.1 является взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры, собранные в соответствии с используемой роутером архитектурой, — ARM, MIPS или PowerPC. Если же с использованием уязвимости shellshock злоумышленникам удастся взломать компьютер с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора и на такой случай.

При запуске Linux.PNScan.1 используются входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. При проведении атак используются RCE-уязвимости с целью запуска соответствующего sh-сценария: так, для роутеров производства компании Linksys применяется атака на уязвимость в протоколе HNAP (Home Network Administration Protocol) и уязвимость CVE-2013-2678, при этом с целью авторизации троянец пытается подобрать сочетание логина и пароля по специальному словарю. Кроме того, Linux.PNScan.1активно использует уязвимость ShellShock (CVE-2014-6271) и уязвимость в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.

Загружаемые троянцем Linux.PNScan.1 вредоносные приложения детектируются антивирусным ПО Dr.Web как Linux.BackDoor.Tsunami.133 и Linux.BackDoor.Tsunami.144. Данные вредоносные программы регистрируют себя в списке автозагрузки атакованного маршрутизатора, после чего, выбрав из списка адрес управляющего сервера, подключаются к нему с использованием протокола IRC. Это — многофункциональные бэкдоры, способные осуществлять DDoS-атаки различных типов (в том числе ACK Flood, SYN Flood ,UDP Flood), а также выполнять поступающие от злоумышленников команды. Одной из таких команд служит директива загрузки утилиты Tool.Linux.BrutePma.1, с использованием которой осуществляется взлом административных панелей систем управления реляционными базами данных PHPMyAdmin. В процессе запуска этот скрипт получает диапазон IP-адресов и два файла, в одном из которых расположен словарь для подбора пары login:password, а в другом — путь к административной панели PHPMyAdmin.

С использованием команд, отдаваемых злоумышленниками инфицированным роутерам, распространяется и троянец Linux.BackDoor.Tsunami.150, также предназначенный для организации DDoS-атак и способный выполнять другие вредоносные функции. Этот бэкдор обладает широким функционалом по подбору паролей для несанкционированного доступа к удаленным узлам по протоколу SSH. В случае успеха этой операции в зависимости от типа атаки на скомпрометированном устройстве Linux.BackDoor.Tsunami.150 либо выполняет сценарий для загрузки бэкдора Linux.BackDoor.Tsunami.133 и Linux.BackDoor.Tsunami.144, либо собирает информацию об ОС устройства и направляет ее злоумышленникам. Технически упомянутые бэкдоры семейства Linux.BackDoor.Tsunami могут использоваться для доставки жертвам любых троянских программ.

Вскоре специалисты компании «Доктор Веб» обнаружили новую модификацию данного троянца, добавленную в базы под именем Linux.PNScan.2. В этой версии вредоносной программы упор был сделан не на эксплуатацию уязвимостей, а на получение несанкционированного доступа к удаленным устройствам, на которых применяются стандартные пароли. Троянец генерирует список IP-адресов и пытается соединиться с ними по протоколу SSH, используя сочетание логина и пароля root;root; admin;admin; или ubnt;ubnt. В случае успеха он помещает в папку "/tmp/.xs/" атакованного устройства набор своих файлов (в зависимости от модели скомпрометированного устройства существуют наборы файлов для архитектур ARM, MIPS, MIPSEL, x86) и запускает их. Периодически Linux.PNScan.2вновь опрашивает устройства по списку, и, если они оказались вылеченными, заражает их снова.

Также на используемом злоумышленниками сервере вирусные аналитики компании «Доктор Веб» обнаружили другие вредоносные программы, среди них — троянец Trojan.Mbot, предназначенный для взлома веб-сайтов, работающих с системами управления контентом WordPress, Joomla, а также использующих ПО для организации интернет-магазина osCommerce. Еще один троянец, обнаруженный там же, получил наименование Perl.Ircbot.13 — он предназначен для поиска уязвимостей на сайтах, работающих с системами управления контентом WordPress, Joomla, e107, WHMCS, а также использующих ПО для организации интернет-магазинов Zen Cart и osCommerce. Взломанные киберпреступниками сайты использовались в качестве прокси-серверов, а также для распространения применяемых в атаках инструментов. Еще одна обнаруженная аналитиками на принадлежащем злоумышленникам сервере программа предназначена для взлома серверов SMTP с использованием метода грубой силы (брутфорс), она получила название Tool.Linux.BruteSmtp.1. Кроме нее там же была найдена программа для массовой рассылки спама Perl.Spambot.2, которая использовалась злоумышленниками для отправки фишинговых сообщений якобы от имени международной платежной системы VISA.

Всего вирусным аналитикам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше инструментов, при этом в 649 случаях выявлено географическое положение инфицированных устройств. Наибольшее их количество располагается на территории Японии, чуть меньше – в Германии, США и Тайвани. Распространение взломанных злоумышленниками устройств по странам мира показано на следующей иллюстрации:

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 10 Марта 2026 - 11:58

GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Домашние пользователи Государство Соответствие требованиям регуляторов

Россияне получат право отказаться от услуг с ИИ

Россияне могут получить право отказываться от услуг с использованием искусственного интеллекта (ИИ) и требовать их оказания без привлечения нейросетевых инструментов. Такая норма содержится в законопроекте, разработанном Минцифры и регулирующем использование ИИ в России.

О наличии этой нормы сообщили «Известия» со ссылкой на свои источники. Сейчас документ проходит процедуры согласования. Ориентировочно он может вступить в силу 1 сентября 2027 года.

При этом в версии документа, оказавшейся в распоряжении «Известий», механизмы реализации права на отказ от ИИ не прописаны. Хотя, как утверждают источники издания, в более ранних редакциях они присутствовали. По их мнению, по мере доработки документа эти положения могут быть возвращены.

«Развитие перспективных технологий, в том числе искусственного интеллекта, — одно из важных направлений деятельности ведомства. При этом любая технология должна применяться исключительно с соблюдением прав и интересов граждан», — прокомментировали документ в пресс-службе Минцифры.

В министерстве также подчеркнули, что документ пока находится на стадии согласования, поэтому его содержание ещё может измениться.

«Необходимость введения данной нормы продиктована стремлением обеспечить законное право потребителя на выбор формата взаимодействия, включая живое общение. Проект документа закрепляет функцию человеческого контроля, что особенно важно в социально значимых сферах», — прокомментировал эту норму ведущий эксперт в области ИИ «Университета 2035» Ярослав Селиверстов.

По его мнению, в первую очередь речь может идти о ситуациях, где цена возможной ошибки особенно высока или требуется учитывать уникальные обстоятельства. Кроме того, отказ от ИИ может быть востребован там, где человеку важно общение с живым специалистом, например, в стрессовых ситуациях, когда формальные ответы автоинформатора неуместны. Наконец, для некоторых пользователей, особенно не имеющих опыта взаимодействия с ИИ, такой формат может создавать дополнительные трудности, а не помогать.

В то же время директор Института исследования интернета Карен Казарян назвал эту норму «сырой» и недостаточно проработанной. По его оценке, для ряда компаний её исполнение может обернуться значительными издержками из-за необходимости резко расширять штат контакт-центров, а следствием этого может стать рост цен и тарифов. В зону риска он отнёс операторов связи, авиакомпании и банки. По его мнению, важно создать такие условия, при которых оператор сможет быстро исправить ошибку.

Руководитель направления «Разрешение IT&IP-споров» фирмы «Рустам Курмаев и партнёры» Ярослав Шицле считает, что законопроект пытается очертить принципы добросовестных отношений между исполнителем и заказчиком на фоне расширения сфер применения ИИ. По его мнению, на законодательном уровне может быть предусмотрена обязанность получать согласие на использование ИИ — по аналогии с согласием на сбор и обработку персональных данных.

«В сервисе необходимо соблюдать баланс между роботизацией и привлечением операторов. Действительно, есть группы пользователей, которым может быть сложно взаимодействовать с ИИ, — это люди с инвалидностью, а также пользователи в возрасте от 60–65 лет и старше. Для них можно сохранить возможность отказаться от систем на базе ИИ, — отметила официальный представитель оператора Т2 Дарья Колесникова. — Роботов ценят за скорость решения вопросов. Отказ от них привёл бы к замедлению обслуживания и ухудшению клиентского опыта. Хотелось бы, чтобы новое регулирование не обернулось необоснованным запретом на использование нейросетей в сервисе».

«Для нас важно обеспечивать прозрачность и не вводить потребителей в заблуждение. Искусственный интеллект уже стал неотъемлемой частью сервисов в нашей индустрии, поэтому при регулировании его применения принципиально важно не допустить ухудшения пользовательского опыта», — прокомментировали в пресс-службе Wildberries&Russ. Там также назвали использование ИИ частью комплексной технологической стратегии развития компании.

Как напомнил партнёр ComNews Research Леонид Коник, уже сейчас в ЕС и Южной Корее действует требование предупреждать потребителей об использовании ИИ. В частности, компании обязаны уведомлять клиентов об обслуживании с помощью ИИ-сервисов, если это не очевидно, например, когда взаимодействие происходит через голосовых чат-ботов.

Регулирование должно быть чётким, чтобы не оставлять пространства для разночтений и не блокировать использование искусственного интеллекта как такового, считает генеральный директор TelecomDaily Денис Кусков. По его оценке, положения, связанные с отказом от использования ИИ, требуют детальной проработки действий обеих сторон. При этом, подчёркивает он, избыточное регулирование в этой сфере недопустимо.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!