Эксперты из аналитического отдела Cisco выявили необычного зловреда, который нацелен на устройства под управлением Linux. Алгоритм у червя довольно сложный, автор регулярно его модифицирует, учитывая методы защиты и поставленные задачи. Что интересно, этот вирус наделён некими свойствами ИИ, и находит он цели для атаки сам, обходя серьёзные ресурсы государственных органов, а также силовых ведомств.
Примечателен и язык, на котором написана вредоносная программа, это очень редко встречающийся в этом сегменте язык Go. Рабочее название вирус получил GoScanSSH, поскольку для того, чтобы проникнуть на устройство, он использует защищённый протокол SecureShell.
Сначала программа генерирует и сканирует большое количество рандомных IP-адресов, далее этот массив чистится от служебных IP от сетей, который принадлежат госорганам разных стран, в том числе США и РФ. После чистки зловред ищет в этих IP открытые SSH-порты, а когда обнаруживает, то включает поиск всех доменов, которые с этим IP связаны. Затем снова идёт чистка по шаблону, чтобы не попался государственный ресурс.
Когда вирус всё почистил, убедился в безопасности для него ресурса, начинается следующий этап, он начинает брутить доступы, то есть перебирать логины и пароли в SSH по списку, который содержит более семи тысяч комбинаций. В этом списке много значений, которые стоят на роутерах и прочих устройства по дефолту. После попадания н устройство, программа отстукивается с одним из командных серверов, расположенных в дарквебе. Таковых пока выявлено около трёхсот. Связь идёт через Tor2Web.
Трудоспособность автора впечатляет, он разрабатывает отдельную уникальную версию вируса для каждого устройства на Linux. Когда программа отстукивается о проникновении на устройство, автор вручную модифицирует её вариант, делая его уникальным. Пока обнаружено более семидесяти уникальных вариантов вируса для разных аппаратных начинок и установленных программных платформ.
После внедрения зловред сканирует все характеристики устройства, результаты отсылает в административную панель, потом сканирует все доступные сети в этом устройстве, чтобы обнаружить следующие цели.
Эксперты полагают, что на данном этапе происходит лишь первый этап более масштабной акции, атаки. Какие конечные цели вируса, пока неизвестно, может даже потом на этих устройствах будут майнить, но это маловероятно. Скорее всего, пока идёт строительство нового ботнета. А уж потом несложно перед ним ставить самые разные задачи.