Расширенный поиск

Эксперты компании ESET обнаружили новый вирус, проникший более чем в миллион роутеров по всему миру, и взломавший через них аккаунты в соцсетях. При этом создатели вируса использовали специальные защитные средства, поэтому сложно отследить его реальную активность.

В исследовании ESET сказано, что червь elan помимо домашних роутеров поражает также точки общественного Wi-Fi. Уже сейчас уязвимость найдена в устройствах Actiontec, Hik Vision, Netgear, Synology, TP-Link, ZyXEL и Zhone.

Попав в роутер, вирус перехватывает авторизационные данные для входа в Instagram, Twitter, Facebook и YouTube всех подключенных через роутер пользователей, которые, к слову, не могут заметить перехвата. В итоге создается ботнет-сеть, которая в дальнейшем использует данные для рекламной накрутки, торговли «лайками» и «репостами», или еще опаснее – для фишинга, провоцирующего заражение смартфона или компьютера, например, банковскими троянами, похищающими деньги.

На данном этапе развития вируса под угрозу попадают только самые простые комбинации паролей, но в перспективе от хакеров можно ждать усовершенствования существующей базы подбора. Активность червя elan ослабляет сброс или отключение роутера. Однако, если не сменить пароль, от нового заражения это не застрахует.

По словам эксперта по интернет-рекламе Льва Глейзера, такая ботнет-сеть может приносить немалую прибыль: лайки востребованы, а социальные сети, в отличие от «Яндекс» и Google, не распознают накрутку. Монетизировать ее может двумя способами: первый – продать группу с большим количеством подписчиков и оценок менее опытным в SMM заказчикам, а второй –охватить аудиторию методом накруток, которые, в свою очередь, спровоцируют активную реакцию пользователей и увеличат стоимость рекламной записи. Эксперт также отметил что такими продуктами рекламного фрода сейчас заражен каждый третий компьютер.

По словам ведущего вирусного аналитика ESET Russia Артема Баранова, географию распространения вируса определить невозможно, поскольку он не использует для связи P2P-протокол, к тому же роутеры пользователей никак не защищены. Специалист напоминает, что в пароле стоит использовать буквы в разном регистре, специальные знаки и цифры.

DR: Как взлом реализуется технически?

Артем Баранов: Механизм взлома самый простой – перебор учетных данных для доступа к роутеру. Технически это реализуется за счет подключения к сетевому порту Telnet в том случае, если он доступен на стороне роутера.

Telnet представляет собой простейший сетевой протокол, позволяющий получить доступ к командной строке ОС Linux, под управлением которой и работает роутер. Получив доступ к командной строке, злоумышленники могут исполнять в зараженной системе различные команды.

DR: С вирусом можно как-то бороться на уровне провайдинга?

Артем Баранов: Провайдерам следует более тщательно проверять настройки как внутренних роутеров локальной сети, так и их внешних аналогов. Если в цепи внешних роутеров обнаружится хотя бы одно слабое звено, вредоносное ПО проникнет во всю внутреннюю сеть провайдера. Поскольку для внутренних роутеров настройки безопасности существенно занижены, программа легко заразит эти устройства.

DR: Как пользователь может узнать, что его данные перехвачены?

Артем Баранов: Чтобы узнать о компрометации устройства, пользователю нужно подключиться к нему через Telnet и получить список процессов и открытых портов. В случае обнаружения подозрительной активности следует сменить учетные данные и перезагрузить устройство. Linux/Moose не имеет механизмов по выживаемости после перезагрузки, поэтому эта операция прекращает его активность. (К слову, эксперт отметил, что для многих пользователей манимуляции с запуском Telnet – непосильная задача).

DR: Если учесть, что точки доступа к общественному Wi-Fi требуют идентификации всех пользователей, можно предположить, что их данные под угрозой?

Артем Баранов: Нужно отметить, что данная вредоносная программа ориентирована на активность в фальшивых аккаунтах в соцсетях, а не на кражу конфиденциальных данных. При условии шифрования трафика по Wi-Fi, даже если роутер окажется заражен, а трафик перехвачен, злоумышленники не смогут воспользоваться этими зашифрованными данными.

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend
Перейти к верхней панели