Вкаждой архитектуре затычка
Эксперты по безопасности фирмы Avastобнаружили новый ботнет интернетавещей Torii, чьи возможности и особенности вызывают серьезную тревогу. По всейвидимости, его создатели поставили себе цель сделать «идеальный» ботнет, — существующий максимальноскрытно, поддерживающий максимальное количество платформ и пригодный дляиспользования влюбых целях.
По данным экспертов Avast, ботнетфункционирует самое позднее с декабря 2017 г. Еговредоносный агент способен атаковать и выживать на архитектурах MIPS, ARM, x86,x64, PowerPC и SuperH.Первоначальные атаки направлены на порт 23, типичный для Telnet, однакосоединения направляются через сеть Tor.
Если в атакуемой системе соединениеTelnet общедоступнои слабо защищено, агент Torii запускает сложный скрипт, который определяетархитектуру устройства. Скрипт также использует большое количество разных команд — wget, ftpget, ftp, busyboxwget или busybox ftpget — чтобы гарантированно установить вредоносный двоичный код на целевуюсистему.
Первым в нее загружается так называемый дроппер (троян), использующий определенные методы скрытности и обеспечениясохранности себя в системе. То же самое касается и любых данных, которыезакачивает дроппер.
Зачем именно создавалсяTorii и какие функции может выполнять, пока остается загадкой. Сегодня ботнетыинтернета вещей чаще всего используются для DDoS-атак или криптомайнинга,однако ни того, ни другого эксперты пока воочию не наблюдали. Сейчасвредоносный агент Torii может выполнять на зараженном устройстве любые команды.
Шестьоттенков скрытности
Как выяснили эксперты, Torii использует какминимум шесть различных методов автоматическогообеспечения устойчивого присутствия, причем запускает все разом:через код, внедренный ~.bashrc, через команду “@reboot” в crontab, в виде службы «системный демон» (systemd), через /etc/init и PATH(снова в качестве системного демона),через изменение настроек политики (Policy Management) вSELinux, через/etc/inittab.
Тем самым вредоносный файл сохраняется всистеме после перезагрузки и его процесс всегда активен.Трафик к командным серверамшифруется и перенаправляется через порт TLS 443. При этом сама вредоносная программа не используетпротокол TLS.
Данный обмен информацией позволяет создать уникальный идентификатор для зараженного устройства — на контрольный сервервысылается имя хоста, идентификатор процесса, MAC-адреса и прочие данные осистеме.
Функционально Torii отдаленно напоминает другой ботнет— Hide and Seek.Однако эксперт Марко Рамилли (Marco Ramilli) из компанииYoroi провелреверсный инжиниринг вредоносного агента и обнаружил, что он сильно напоминаетчервь Persirai, который в мае прошлого года использовался для зараженияIP-камер.
«Ботнетыинтернета вещей существуютв первую очередь благодаря пренебрежительному отношению пользователей к защите устройств,— указывает Олег Галушкин, директор поинформационной безопасности компании SEC Consult Services. — Torii может бытьуниверсальным, многофункциональным и, в целом, представлять большую угрозу,нежели многие другие, но вектор первичного заражения абсолютно банален:Telnet-консоль, “открытая всем ветрам”. Устройстваинтернета вещей требуютстоль же внимательного и осторожного обращения, как и персональные компьютеры».