Satori — семейство зловредного программного обеспечения, представители которого поражают роутеры, камеры наблюдения и другие IoT устройства. Цель — формирование ботнетов, что позволяет выполнять различные задачи — от DDoS до более сложных, вроде майнинга. Но сейчас появился новый представитель этого семейства, который ничего не майнит, а просто ворует добываемые коины.
8 января представители компании по информационной безопасности Netlab 360 из Китая опубликовали отчет, в котором сообщается про обнаружение зловреда, захватывающего майнинговые системы. Новая версия Satori использует уязвимости в Claymore Miner, заменяя адрес кошельков владельцев майнингового оборудования кошельками злоумышленников.
Поскольку оборудование продолжает и далее работать в штатном режиме, майнер может не сразу обнаружить проблему. Конечно, после того, как на кошелек прекращают поступать добытые коины, внимание это привлекает. Но в некоторых случаях могут пройти дни до момента, пока эта проблема будет замечена. Массовым этот зловред пока назвать нельзя.
Кошелек известен, и сколько там находится денег тоже известно. За все время было добыто всего лишь две монеты Ethereum, так что огромных доходов разработчики червя (пока) не получили. Но если вирус окажется заразным, потоки финансов могут увеличиться многократно. На данный момент производительность захваченного зловредом оборудования составляет около 2,1 миллионов хэшей в секунду. Такую мощность могут развить 85 ПК с картой Radeon Rx 480 или 1135 компьютеров с картами GeForce GTX 560M.
Насколько можно судить, сильно производительность оборудования не растет, вероятно, вирус либо не поражает новые устройства, либо владельцы систем быстро обнаруживают проблемы и у вируса не получается сформировать сколь-нибудь значительную сеть.
Стоит отметить, что семейство Satori — это модифицированная версия ботнета Mirai, исходники которого с недавних пор находятся в общем доступе. Mirai захватывает контроль над устройствами Интернета вещей, а в 2016 году этот ботнет стал развиваться очень быстрыми темпами, что стало причиной довольно значительных проблем.
Что касается Satori, то код этого ПО значительно модифицирован. Сам червь не инфицирует гаджеты с паролями по умолчанию. Вместо этого вредонос анализирует ПО устройств на предмет наличия уязвимостей. Если таковые находятся, устройства заражаются. В начале декабря Satori заразил более 100 тысяч устройств, и в течение ближайшего времени масштаб этого ботнета может вырасти во много раз.
Исследователи из Netlab 360 утверждают, что новая версия Satori, заточенная на криптовалюты появилась 8 января. Она анализирует устройства на предмет двух различных IoT уязвимостей, плюс использует дыру в ПО Claymore Mining, о чем и говорилось выше.
Пока что точно неясно каким именно образом новый вирус инфицирует компьютеры, добывающие криптовалюты. Сейчас известно, по крайней мере, об одной уязвимости в Claymore Mining. Насколько можно понять, червь работает с 3333 портом с дефолтными настройками (без аутентификации).
Большего количества данных компания Netlab 360 не предоставила во избежание получения полезной для своей работы информации злоумышленниками. Разработчики Claymore Mining пока не ответили на заявления кибербезопасников.
А вот кто-то из разработчиков Satori добавил сообщение следующего содержания: «Не переживайте из-за этого бота, он не выполняет никаких вредных действий. Со мной можно связаться по адресу curtain@riseup.net». Довольно странное заявление, поскольку уже то, что зловред заменяет кошельки майнеров на кошельки собственных разработчиков, явно нельзя назвать безобидным действием.
Что касается Satori, то это далеко не единственный «наследник» Mirai. В октябре прошлого года исследователи заявили о том, что в Сети обнаружилась новая проблема — еще один мощный зловред, который стал известен под названиями Reaper и IoTroop. Он также находит уязвимости в ПО и аппаратном обеспечении «облачных» устройств, и заражает их, превращая в зомби.
Комментарии (6)
vesper-bot
18.01.2018 16:02> он не выполняет никаких вредных действий
Смотря как в оригинале пишется «вредный», можно такое заявление истолковать по-разному. И в некотором подмножестве толкований замена бенефициара действительно не окажется «вредным» действием.alexoron
18.01.2018 19:01Пока на вашем компьютере не намайнят валюту и переведут все средства себе
или на рабочем ПК, тем более сейчас по закону за майнинг на работе могут еще и посадить.
Потом попробуйте доказать обратное.
ФСБ главное «крайнего» найти и протрубить по всем федеральным каналам.
Минимум как репутацию точно потеряете даже если как-то в суде отвертитесь.SandroSmith
19.01.2018 01:23Он же не запускает майнинг, а только перенаправляет поток. Так что про рабочий ПК — мимо.
Barnaby
20.01.2018 13:33- now miner shows a warning if you enabled full remote management (-mport > 0) and did not specify -mpsw parameter.
Вся уязвимость в том что пользователи включали удаленное управление без пароля? :)
Barnaby
Если он уже на пк, можно просто перезапустить майнер с нужными настройками. Если он конфиг через удаленное управление меняет — то техника не инфицируется. Linux тоже уязвим?
На самом деле опасность червя слабая, замена кошелька будет видна сразу по падению хешрейта а ничего ценного на майнерских компах нет.
QDeathNick
Судя по этому конкретному случаю, пока владелец не обнаружил замены.