Mario Ballano, один из аналитиков компании Symantec, сообщил об обнаружении странного ботнета, получившего наименование Linux.Wifatch, который с помощью уязвимости в службе Telnet заражает различные сетевые устройства и объединяет их в peer-to-peer сеть. При этом, мало того, что никакой деструктивной активности он не проявляет (вроде рассылки спама или организации DDoS), но и ведет себя как эдакий вирусный антивирус для зараженных устройств. Агент ботнета пытается найти и завершить процессы известных ему вредоносов, настраивает перезагрузку раз в неделю для своеобразной защиты от угроз, работающих только в оперативной памяти, а также убивает уязвимый демон Telnet, оставив сообщение администратору с просьбой отключить дырявую службу, сменить пароли или обновить прошивку!

Сообщение для администраторов уязвимых устройств:



Первые следы ботнета были обнаружены еще в ноябре 2014 году исследователем, который заметил, что его домашний маршрутизатор ведет себя как-то странно. Оказалось, что инфекция превратила его устройство в «зомби», подключенное к одноранговой сети из зараженных устройств. Вредоносная программа написана на Perl для различных архитектур и поставляется с собственными статическими интерпретаторами Perl для каждой.


По данным Symantec были заражены десятки тысяч устройств, причем основная их часть находится в Китае, Бразилии, Мексике и Индии.


Для исходного кода используется сжатие, но не обфускация. Как заявили в Semantec, похоже, автор не старался каким либо образом затруднить анализ кода, напротив, даже сделал множество поясняющих комментариев. В скриптах, которые ботнет использует для своей работы был обнаружен и такой примечательный текст:

image

Авторство данной фразы приписывают Ричарду Столлману, а вот автор ботнета, судя по всему, вдохновлялся подвигами Эдварда Сноудена.

Теоретически, агент ботнета все-таки несет в себе дополнительную угрозу, т.к. может выполнять произвольные команды от хозяина (командный центр скрыт с помощью Tor), но они должны быть подписаны криптографическим ключом, что исключает возможность постороннего использования. Самое интересное, останется ли автор на стороне добра или со временем все же использует ботнет для получения выгоды…
Перейдет ли автор ботнета на темную сторону?

Проголосовало 2017 человек. Воздержалось 423 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Комментарии (31)


  1. stavinsky
    04.10.2015 16:59
    +3

    Хаха) Может он просто конкурентов убивает?


    1. FreeMind2000
      05.10.2015 14:37

      Перейдет ли автор ботнета на темную сторону?

      — Думаю, он перейдет на серую, добро должно быть с кулаками ;)


      1. PavelMSTU
        06.10.2015 14:25

        А где вариант «бабло побеждает зло»???


        1. k0ldbl00d
          06.10.2015 14:31

          Не обязательно делать зло за деньги, многие творят зло просто потому что могут.


  1. a553
    04.10.2015 17:16
    +9

    А что, интересный и радикальный способ обеспечить себе приватность и безопасность. Ведь лучшая защита — это нападение. Ходишь с телефоном, атакуешь, заражаешь и «исправляешь» вай-фай роутеры, пока они не атаковали тебя.


    1. Vindicar
      04.10.2015 18:03
      +1

      Тогда уж сразу с квадрокоптером =)


  1. evocatus
    04.10.2015 18:09
    +2

    http://geektimes.ru/post/263312/


    1. Akr0n
      04.10.2015 19:15
      +26

      Не видел. Вот уж поделили Хабр, спасибо…


  1. DrPass
    04.10.2015 21:17
    +24

    На самом деле автором ботнета является компания D-link. Просто если они в открытую сделают безопасную и надежную прошивку, им никто не поверит.


    1. Milfgard
      04.10.2015 21:20
      +4

      … если они в открытую сделают безопасную и надежную прошивку для Cisco…


  1. egorsmkv
    04.10.2015 22:51
    +2

    А можно как-то предупредить админа блога на WordPress?


    1. kovalevsky
      04.10.2015 23:32
      +3

      легко, если у него установлен один из популярных дырявых бекап плагинов :)


      1. Pasha4ur
        05.10.2015 01:21
        +2

        А какие из них дырявые?


        1. xandr0s
          06.10.2015 13:14
          +1

          Проще ответить на обратное


          1. Pasha4ur
            06.10.2015 13:33
            +1

            Так ответьте )


            1. glader
              15.10.2015 21:42

              Комментаторы слились :(


              1. Pasha4ur
                15.10.2015 22:00

                Та я уже понял. Спрашивал, потому что у меня сайт на вп


                1. xandr0s
                  16.10.2015 11:23

                  Ну тут нет 100% панацеи. Капитанский совет: чем меньше на вп плагинов, тем он менее уязвим. За всеми установленными периодически поглядывать на предмет найденных дырок и латать. Конкретно бэкапный плагин я в принципе перестал использовать после его очередного факапа (не помню уже название, на гуглдрайв заливал). Теперь исключительно в консоли мускульдамп и гзип).


  1. whiplash
    05.10.2015 07:00

    Опять Max 'Vision' Butler ??
    ))))


  1. devbutch
    05.10.2015 13:29
    +1

    «Это какие-то неправильные пчёлы… они делают неправильный мёд»)


  1. coylOne
    06.10.2015 12:45
    +3

    image


    1. PavelMSTU
      06.10.2015 14:23
      +2

      Простите, я не понял…
      Объясните идиоту.


      1. Eefrit
        06.10.2015 14:43
        +1

        Идиоту сложно что-либо объяснить вообще, а вам — пожалуйста (зачастую, в современном интернете, данная фотография символизирует некое сферическое добро) :)


        1. coylOne
          06.10.2015 15:45

          Да. Дукалис – символ причинения необоснованного добра =)


          1. PavelMSTU
            06.10.2015 17:32
            +1

            Спасибо, не знал, что именно Дукалис источник мема «всем добра». Думал мем исключительно текстовый ;))

            Оффтоп.
            Пояндексил. Тогда уж так:

            Всем добра!!!
            image


  1. Eefrit
    06.10.2015 14:07
    +2

    Шикарно. Не припомню, чтобы когда-то такое было в истории.


  1. SunSunSun
    06.10.2015 14:52
    +2

    Наверняка скоро появится ботнет который будет заражать маршрутизаторы а потом будет сообщать (троллить) администратору что заражён другой маршрутизатор :)


    1. PavelMSTU
      06.10.2015 17:34

      Лучше ботнет, который заражает другие ботнеты…
      Ботнет 2-го разряда… ;))


      1. HardWrMan
        06.10.2015 19:23

        Это не разряд наверное а уровень. Или порядок. Получится вроде Spy vs. Spy.


  1. rrrav
    07.10.2015 17:18

    В природе тоже так порой происходит — некоторые паразиты паразитируют на паразитах. Думаю эту цепочку можно даже продолжить…


  1. mag2000
    13.10.2015 23:12

    [функциональный оффтоп]
    Ботнет высшего порядка