Ερευνητές από το ρωσικό προμηθευτή Antivirus Dr.Web εντόπισαν έναν νέο τύπο κακόβουλου λογισμικού Linux που μολύνει τους υπολογιστές Raspberry Pi.
Το κακόβουλο λογισμικό σαρώνει για συσκευές Raspberry Pi που είναι προσβάσιμες μέσω θύρας SSH 22. Όταν εντοπίσει ένα θύμα προσπαθεί να συνδεθεί χρησιμοποιώντας το προεπιλεγμένο όνομα χρήστη και κωδικό πρόσβασης (το οποίο είναι pi/raspberry).
Οι ερευνητές διαπίστωσαν δύο τέτοια Trojan τα οποία :
- Το Linux.MulDrop.14 εγκαθιστά ένα λογισμικό εξόρυξης κρυπτονομίσματος και ξεκίνησε να μολύνει από τον Μάιο του τρέχοντος έτους.
- Το Linux.ProxyM τρέχει ένα proxy server στους μολυσμένους Raspberry
Συγκεκριμένα, όσα Raspberry Pi είναι προσβάσιμα διαδικτυακά μέσω της θύρας 22 του SSH και δεν έχουν αλλαχτεί το προεπιλεγμένο όνομα χρήστη / συνθηματικό είναι υποψήφια για μόλυνση. (Διαβάστε το άρθρο «10 Λεπτά βασικής ασφάλειας» για να προστατευτείτε).
Έτσι το Linux.MulDrop.14, μόλις εντοπίσει ένα ευπαθές Raspberry Pi εγκαθιστά βιβλιοθήκες (zmap και sshpass), κλείνει κάποιες υπηρεσίες και εγκαθιστά ένα crypto-miner ενώ ταυτόχρονα αλλάζει το συνθηματικό του χρήστη «pi». Τέλος, με το zmap ψάχνει άλλα «θύματα».
Από την άλλη το Linux.ProxyM χρησιμοποιεί μια ειδική σειρά μεθόδων για την ανίχνευση honeypots (ειδικοί διακομιστές που χρησιμοποιούνται από ειδικούς ψηφιακής ασφάλειας για την εξέταση κακόβουλου λογισμικού). Μόλις ξεκινήσει, συνδέεται στον κρυφό διακομιστή εντολών και ελέγχου και αφού λάβει επιβεβαίωση από αυτό, τρέχει έναν διακομιστή μεσολάβησης στη μολυσμένη συσκευή. Οι κυβερνοεγκληματίες μπορούν να χρησιμοποιήσουν αυτόν τον Trojan για να διασφαλίσουν ότι θα παραμείνουν ανώνυμοι στο διαδίκτυο.
Linux-User
Technopolitan.gr
Termatiko
Cerebrux 
Σου άρεσε το άρθρο; Πες την άποψή σου... έστω και Ανώνυμα: