Satori — семейство зловредного программного обеспечения, представители которого поражают роутеры, камеры наблюдения и другие IoT устройства. Цель — формирование ботнетов, что позволяет выполнять различные задачи — от DDoS до более сложных, вроде майнинга. Но сейчас появился новый представитель этого семейства, который ничего не майнит, а просто ворует добываемые коины.

8 января представители компании по информационной безопасности Netlab 360 из Китая опубликовали отчет, в котором сообщается про обнаружение зловреда, захватывающего майнинговые системы. Новая версия Satori использует уязвимости в Claymore Miner, заменяя адрес кошельков владельцев майнингового оборудования кошельками злоумышленников.

Поскольку оборудование продолжает и далее работать в штатном режиме, майнер может не сразу обнаружить проблему. Конечно, после того, как на кошелек прекращают поступать добытые коины, внимание это привлекает. Но в некоторых случаях могут пройти дни до момента, пока эта проблема будет замечена. Массовым этот зловред пока назвать нельзя.

Кошелек известен, и сколько там находится денег тоже известно. За все время было добыто всего лишь две монеты Ethereum, так что огромных доходов разработчики червя (пока) не получили. Но если вирус окажется заразным, потоки финансов могут увеличиться многократно. На данный момент производительность захваченного зловредом оборудования составляет около 2,1 миллионов хэшей в секунду. Такую мощность могут развить 85 ПК с картой Radeon Rx 480 или 1135 компьютеров с картами GeForce GTX 560M.

Насколько можно судить, сильно производительность оборудования не растет, вероятно, вирус либо не поражает новые устройства, либо владельцы систем быстро обнаруживают проблемы и у вируса не получается сформировать сколь-нибудь значительную сеть.

Стоит отметить, что семейство Satori — это модифицированная версия ботнета Mirai, исходники которого с недавних пор находятся в общем доступе. Mirai захватывает контроль над устройствами Интернета вещей, а в 2016 году этот ботнет стал развиваться очень быстрыми темпами, что стало причиной довольно значительных проблем.

Что касается Satori, то код этого ПО значительно модифицирован. Сам червь не инфицирует гаджеты с паролями по умолчанию. Вместо этого вредонос анализирует ПО устройств на предмет наличия уязвимостей. Если таковые находятся, устройства заражаются. В начале декабря Satori заразил более 100 тысяч устройств, и в течение ближайшего времени масштаб этого ботнета может вырасти во много раз.

Исследователи из Netlab 360 утверждают, что новая версия Satori, заточенная на криптовалюты появилась 8 января. Она анализирует устройства на предмет двух различных IoT уязвимостей, плюс использует дыру в ПО Claymore Mining, о чем и говорилось выше.

Пока что точно неясно каким именно образом новый вирус инфицирует компьютеры, добывающие криптовалюты. Сейчас известно, по крайней мере, об одной уязвимости в Claymore Mining. Насколько можно понять, червь работает с 3333 портом с дефолтными настройками (без аутентификации).

Большего количества данных компания Netlab 360 не предоставила во избежание получения полезной для своей работы информации злоумышленниками. Разработчики Claymore Mining пока не ответили на заявления кибербезопасников.

А вот кто-то из разработчиков Satori добавил сообщение следующего содержания: «Не переживайте из-за этого бота, он не выполняет никаких вредных действий. Со мной можно связаться по адресу curtain@riseup.net». Довольно странное заявление, поскольку уже то, что зловред заменяет кошельки майнеров на кошельки собственных разработчиков, явно нельзя назвать безобидным действием.

Что касается Satori, то это далеко не единственный «наследник» Mirai. В октябре прошлого года исследователи заявили о том, что в Сети обнаружилась новая проблема — еще один мощный зловред, который стал известен под названиями Reaper и IoTroop. Он также находит уязвимости в ПО и аппаратном обеспечении «облачных» устройств, и заражает их, превращая в зомби.