Νέο trojan εγκαθιστά crypto currency mining στα Raspberry Pi

Με την αξία των ψηφιακών νομισμάτων να είναι ιδιαίτερα υψηλή, με περαιτέρω τάσεις ανόδου, δεν αποτελεί έκπληξη η δημιουργία πολλών κακόβουλων προγραμμάτων που προσπαθούν να εγκαταστήσουν κρυφά εφαρμογές για mining σε μηχανήματα ανυποψίαστων χρηστών. Ένα τελευταίο παράδειγμα τέτοιου κακόβουλου λογισμικού, ανιχνεύτηκε από τους ερευνητές που βρίσκονται πίσω από το Ρωσικό πρόγραμμα antivirus Dr. Web.

Το νέο αυτό κακόβουλο λογισμικό προσβάλει συστήματα που τρέχουν λογισμικό Linux και ειδικότερα στοχεύει αποκλειστικά Raspberry Pi. Η ονομασία που έχουν δώσει οι ερευνητές στο κακόβουλο αυτό λογισμικό, είναι Linux.MulDrop.14 και θεωρείται ότι η διάδοσή του ξεκίνησε τον προηγούμενο μήνα. Έχει την μορφή ενός script που περιλαμβάνει μια συμπιεσμένη και κρυπτογραφημένη εφαρμογή.

Το Linux.MulDrop.14 ανιχνεύει για συσκευές Raspberry Pi οι οποίες είναι προσβάσιμες μέσω του SSH port 22. Εφόσον ανιχνευθεί τέτοια συσκευή, προσπαθεί να κάνει login χρησιμοποιώντας τα προκαθορισμένα username και password. Εφόσον καταφέρει να προσβάλει μια συσκευή Raspberry Pi, άμεσα προχωράει στην αλλαγή του password του Pi, στην απενεργοποίηση πλήθος εργασιών και την εγκατάσταση βιβλιοθηκών που απαιτούνται για την λειτουργία του, συμπεριλαμβανομένων των ZMap και sshpass. Εν συνεχεία εκτελεί την εφαρμογή για crypto currency mining και χρησιμοποιεί το ZMap ώστε να ανιχνεύσει άλλες συσκευές στο internet τις οποίες θα μπορούσε να προσβάλει. Εφόσον ανιχνευτεί μια τέτοια συσκευή, χρησιμοποιεί το sshpass στην προσπάθειά του να συνδεθεί με αυτήν. Το Linux.MulDrop.14 χρησιμοποιεί για username το "pi" και password το "raspberry", κάτι που περιορίζει την επικινδυνότητά του, αλλά δεν αποκλείεται να είναι ακόμα σε εξέλιξη και αργότερα να δοκιμάζει και άλλους συνδυασμούς.

Επιπλέον του Linux.MulDrop.14, οι ερευνητές της Dr. Web ανίχνευσαν και ένα δεύτερο κακόβουλο λογισμικό που στοχεύει μηχανήματα με Linux. Σε αυτό έχουν δώσει την ονομασία Linux.ProxyM. Η δουλειά του εν λόγω κακόβουλου λογισμικού είναι να εκκινήσει έναν SOCKS proxy server στην μολυσμένη συσκευή, επιτρέποντας στον δημιουργό του να δρομολογήσει κίνηση μέσω της συσκευής αυτής, σε μια προσπάθεια να αποκρύψει την ταυτότητά του και την τοποθεσία του. Δεν υπάρχουν άλλες πληροφορίες για την ώρα όσον αφορά το Linux.ProxyM, πέραν του ότι έχουν μολυνθεί 10000 συστήματα από τον Φεβρουάριο και μέχρι σήμερα.