În luna noiembrie 2013, specialiștii Symantec au descoperit un program Worm denumit Linux Darlloz, care are drept scop atacul dispozitivelor conectate la Internet of Things (IoT). Acest program maliţios afectează sisteme de calcul bazate pe arhitecturi Intel x86, inclusiv dispozitive operate pe arhitecturi ARM, MIPS, PowerPC, aparate tip router sau cutii set-top (de televiziune digitală prin cablu și Internet). Ulterior versiunii din Noiembrie, a fost descoperită la mijlocul lunii ianuarie o nouă versiune a programului Worm Linux Darlloz. Autorul programului Worm actualizează permanent codul programului și îi adaugă noi proprietăți, în principal cu scopul obținerii de bani în mod fraudulos prin folosirii acestuia.

Prin intermediul unei scanări integrale a adreselor IP de pe Internet în luna Februarie, au fost descoperite peste 31.000 de dispozitive infectate cu programul Worm Linux Darlloz.

Minare pentru bani

În prezent, scopul programului malițios Linux Darlloz este minarea pentru monedă virtuală. Odată infectat un computer care operează pe arhitectură Intel, noua variantă a Linux Darlloz instalează aplicația cpuminer, un soft open-source dedicat minării de monedă virtuală, apoi începe procedurile de minare a monedelor Mincoins sau Dogecoins de pe computerele infectate. Până la finele lunii Februarie 2014, atacatorul a minat 42.438 Dogecoins (echivalentul a  aproximativ 46 de dolari, la cursul de schimb valutar curent) și 282 de Mincoins (echivalentul a 150 de dolari). Aceste sume minate sunt relativ scăzute în contextul mediei de infracțiuni virtuale, însă ne așteptăm ca atacatorul să își dezvolte programul Worm pentru câștiguri mai consistente.

Noile proprietăți ale programului Worm minează deocamdată exclusiv computere care operează pe arhitectura Intel x86 și nu am descoperit până acum dispozitive conectate la Internet of Things (IoT) afectate, mai ales că aceste dispozitive necesită mai multe resurse de memorie și un procesor CPU avansat pentru minarea de monedă virtuală.

De ce Mincoin și Dogecoin?

Programul Worm se adresează în principal minării monedelor Mincoin și Dogecoin, deși există monede mult mai valoroase cum ar fi, spre exemplu, Bitcoin. Motivul este faptul că Mincoin și Dogecoin folosesc un algoritm care permite în continuare minarea cu succes de pe dispozitivele computere obișnuite, în timp ce Bitcoin necesită chip-uri speciale tip ASIC pentru o minare profitabilă.

De ce Internet of Things (IoT)?

Infrastructura Internet of Things conectează dispozitive de toate tipurile. Deși mulți utilizatori utilizează măsuri de securitate împotriva atacurilor informatice, dispozitivele IoT nu sunt întotdeauna securizate. Spre deosebire de computerele obișnuite, majoritatea dispozitivelor IoT dispun de măsuri de securitate standard, cu acces prin user și parolă, care sunt rareori schimbate de utilizatori. Drept urmare, datele de acces standard sunt folosite de atacatori pentru a se infiltra pe dispozitive. În plus, multe dintre dispozitive au vulnerabilități încă neacoperite de soluțiile de securitate, aspecte care de multe ori nu sunt știute de consumatori.

Deși programul Worm atacă în principal computerele obișnuite, folosite în mediul rezidențial, router-ele, cutiile set-top sau camerele video pe bază de IP, Linux Darlloz poate fi actualizat pentru a se inflitra și pe alte dispozitive IoT, dispozitive de control din locuință sau dispozitive purtabile.

Impactul Linux Darlloz  

Linux Darlloz blochează accesul altor atacatori sau programe Worm cum ar fi, spre exemplu, Linux Aidra. După ce infectează un dispozitiv, pentru a se răspândi, Darlloz inițiază un server Web HTTP prin portul 58455. Acest server găzduiește fișiere Worm și permite oricui descărcarea de fișiere prin intermediul portului, folosind o solicitare tip HTTP GET. Astfel, specialiștii Symantec au căutat adresele de IP care deschid acest port și găzduiesc programul Darlloz pe rute statice și, pornind de la presupunerea că programul poate fi descărcat, au colectat amprentele sistemului de operare pe serverul-gazdă. Următoarele date statistice oferă o perspectivă asupra impactului programului Linux Darlloz:

–       Darlloz a infectat 31.716 adrese IP

–       Infectarea Darlloz afectează 139 regiuni

–       Au fost identificate 449 de amprente ale sistemului de operare în adresele de IP infectate

–       43% din infectările Darlloz compromit computere operate pe arhitecturi Intel și servere Linux

–       38% din infectările Darlloz afectează o varietate de dispozitive IoT, printre care routere, cutii set-top, camere video IP și imprimante

–       31% dintre atacuri vizează dispozitive din China, iar 30% din SUA, urmate de Coreea de Sud, Taiwan și India, regiuni cu un număr mare de utilizatori de nternet și o rată crescută a penetrării dispozitivelor IoT.

Dispozitive IoT infectate

Este posibil ca numeroși utilizatorii să nu realizeze faptul că dispozitivele lor sunt infectate cu malware. În doar 4 luni, Darlloz a compromis peste 31.000 de computere și dispozitive IoT, iar cifrele sunt în creștere. Este de așteptat ca autorul acestui Malware să își actualizeze programul cu noi proprietăți, iar Symantec monitorizează cu atenție acțiunile acestei amenințări.

Atenuarea influenței programelor Worm

–       Aplicarea patch-urilor de securitatea pentru toate programele instalate pe computer și dispozitive IoT

–       Actualizarea programelor firmware furnizate de companiile producătoare de dispozitive specializate

–       Schimbarea parolei standard pe toate dispozitivele

–       Blocarea conexiunilor externe prin porturile 23 sau 80 din afara rețelei, dacă acestea nu sunt necesare