LINUX.ORG.RU
ФорумTalks

Обнаружен неуничтожаемый компьютерный вирус

 


0

1

Специалисты «Лаборатории Касперского» обнаружили вирус, названный Slingshot, который оказался способен заражать маршрутизаторы персональных компьютеров с помощью многоуровневых атак. Об этом говорится в блоге компании.

Новая программа нацелена на роутеры. Таким образом, опасная для системы информация распространяется быстрее и сразу на несколько устройств. Вирус заменяет библиотеку специально созданной копией, загружает зараженные компоненты, а затем запускает процесс атаки на компьютерах.

Одна часть вируса под названием Canhadr воздействует на код ядра, что позволяет злоумышленникам получить расширенный доступ к памяти компьютера на всех уровнях. Другая, обозначенная как GollumApp, поражает пользовательский уровень: берет на себя управление файлами и постоянно следит за сохранением вредоносного обеспечения в системе.

Программа не только способна украсть любую информацию, хранящуюся в цифровом виде, включая сетевой трафик, скриншоты и пароли. Она также тщательно следит за собственной сохранностью и бесперебойной работой: к примеру, чтобы отвлечь от себя любые подозрения, вирус самостоятельно инициирует проверки безопасности компьютера.

Специалисты назвали этот вирус «шедевром» киберпреступности: вредный код успешно существует в различных модификациях с 2012 года, и до сих пор его следы были незаметны. При этом перепрошивка роутеров может не помочь в решении проблемы, так как его способности к самокопированию и другим способам выживания троянов пока не полностью изучены.

Аналитики полагают, что столь изящную вредоносную программу вряд ли создали мошенники: скорее всего, это дело рук одного из государственных агентств безопасности или разведки. Пока доказательств этому нет, но специалисты «Лаборатории Касперского» высказались, что вирус мог использоваться для противодействия терроризму спецслужбами США, Канады, Великобритании, Австралии и Новой Зеландии (цифровое объединение «Пять глаз»).

https://lenta.ru/news/2018/03/12/virus/

Так на роутерах прошивка на ядре линукс. Или все равно не поможет?

Riniko ()
Ответ на: комментарий от Riniko

судя по всему проникает в роутер, а оттуда уже пялит компы в сети

r0ck3r ★★★★★ ()

При этом перепрошивка роутеров может не помочь в решении проблемы

"...для выключения используйте лаксианский ключ" (ц)

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

скорее всего, как только роутер перепрошьется - вирусня опять попадет в него с зараженного компьютера

r0ck3r ★★★★★ ()
Ответ на: комментарий от r0ck3r

Вирусня попадает на роутер через уязвимости. Если я прошью роутер прошивкой с закрытой уязвимостью - он попадет туда при помощи магии?

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Если я прошью роутер прошивкой с закрытой уязвимостью - он попадет туда при помощи магии?

Если ты найдёшь прошивку без уязвимостей, то это уже магия. Ну и кроме того, зверь может утарабанить пароль от роутера, он же почти всегда передаётся в открытом виде.

subwoofer ★★★★★ ()
Ответ на: комментарий от burato

Скорее как обычно винда только. Потому-что я слабо представляю как вирус, на линуксе, сам после перепрошивки роутера туда попадет.

Riniko ()
Ответ на: комментарий от burato

Ну, если мы говорим о виндовс, то некоторые и самого пароля то на него не ставят

Riniko ()
Ответ на: комментарий от subwoofer

Если я прошью роутер прошивкой с закрытой уязвимостью - он попадет туда при помощи магии?

Если ты найдёшь прошивку без уязвимостей, то это уже магия.

Ты точно умеешь читать?

зверь может утарабанить пароль от роутера

А человек может его сменить.

tailgunner ★★★★★ ()

сцук

и биток как назло вниз

фермы тоже же ж к роутерам обычно подключают

fcx ★★★ ()

А переведите с маркетологовогона русский этот бред. Как вирусня на роутер попадает? Явно не универсальную дыру нашли(тогда проблеме были-бы все linux-системы подвержены) и явно не закладки(говорят не о конкретном производители, а сразу о всех, а они между собой явно не договорились бы).

Deleted ()
Ответ на: комментарий от Deleted

А переведите с маркетологовогона русский этот бред

Не на русский, но я погуглил за тебя: «According to a 25-page report published [PDF] by Kaspersky Labs, the group exploited unknown vulnerabilities in routers from a Latvian network hardware provider Mikrotik as its first-stage infection vector in order to covertly plant its spyware into victims' computers».

PDF: https://s3-eu-west-1.amazonaws.com/khub-media/wp-content/uploads/sites/43/201...

tailgunner ★★★★★ ()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от tailgunner

Если я прошью роутер прошивкой с закрытой уязвимостью - он попадет туда при помощи магии?

А если он модифицирует прошивку с типичной структурой файлов и ФС, которая попадает в роутер в tmpfs, непосредственно перед перезаписью чипа? Или даже на лету. Или после прошивки, но перед штатным ребутом.

Это всего лишь код, никакой магии. Вопрос в том, кто первый это реализует.

Pravorskyi ★★ ()

Это походу очередное пугалово от известной «лаборатории», а не вирус LOL

trueshell ★★★★★ ()
Ответ на: комментарий от tailgunner

Вот только появилась:

Вирус был обнаружен по счастливой случайности. Группа исследователей анализировала код кейлоггера и решила проверить, встречается ли он где-либо еще. Сигнатура вируса проявилась в, казалось бы, невинном файле scesrv.dll на еще одном компьютере. Дальнейшие тесты показали: когда компьютер подключался к системе конфигурации роутера, вирус активировался, выгружал копию себя на «свежую» машину и получал root-доступ.
Вредонос «собирает» скриншоты, информацию о сети и USB-подключениях, перехватывает пароли и данные в буфере обмена, отслеживает активность на компьютере. На основании этого исследователи сделали вывод, что целью Slingshot, вероятно, является шпионаж.
Точно не установлено, каким образом Slingshot заразил свои первые цели, однако известно, что создатели вируса внедрили вредоносный код в роутеры латвийской компании MikroTik. Он использует средство конфигурирования Winbox для загрузки DLL-файлов в память компьютера. Хакеры поместили библиотеку ipv4.dll на маршрутизатор, которая также начала передаваться в память. После выгрузки файл скачивал другие компоненты вируса.

Тоже муть, но становится понятно что заражает он только винду при использовании winbox. https://sohabr.net/habr/post/350974/

Deleted ()
Последнее исправление: log4tmp (всего исправлений: 1)

Такое ощущение, что роутер изнасиловал журналистов…

Evgueni ★★★★★ ()

Специалисты «Лаборатории Касперского»

После этих строк мой оптимизированный парсер вышел из цикла с обработкой текста.

ptarh ★★★★★ ()
Ответ на: комментарий от ptarh

Оптимизация превратила это в «Лаборанты Касперского»?

Kronick ()
Ответ на: комментарий от tailgunner

А человек может его сменить.

И зловред его опять утащит.

subwoofer ★★★★★ ()
Ответ на: комментарий от subwoofer

Как? Если зловреда уже нет в сети, а уязвимость закрыта.

Впрочем, это обсуждение уже излишне.

tailgunner ★★★★★ ()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от tailgunner

если у тебя OpenWRT можно узнать пароль кейлоггером, который установлен в твоем компе, и опять установиться

r0ck3r ★★★★★ ()

спецслужбами США, Канады, Великобритании, Австралии и Новой Зеландии (цифровое объединение «Пять глаз»).

Одноглазые.

iZEN ★★★★★ ()
Ответ на: комментарий от r0ck3r

Если предполагается, что у тебя нет незараженных устройств, то, естественно, гейм овер.

tailgunner ★★★★★ ()

Аналитики полагают, что столь изящную вредоносную программу вряд ли создали мошенники: скорее всего, это дело рук одного из государственных агентств безопасности или разведки.

А вот и лулзы подкатили.

Solace ★★ ()
Ответ на: комментарий от Solace

Угу. Тот же конфикер в поздних версиях был оч. продвинутой программой, но его принадлежность к криминалу никогда не оспаривалась.

Neurotizer ()

успешно существует в различных модификациях с 2012 года, и до сих пор его следы были незаметны

пока не полностью изучены

украсть любую информацию, хранящуюся в цифровом виде

компьютеры
компьютеры
компьютеры

доказательств нет

i want to believe.

каспер в своем репертуаре

Deleted ()

Маркетологи «Лаборатории Касперского» обнаружили что их антивирус плохо продается и решили налить хомячкам в уши байки про страшный-престрашный вирус. Ну что, ждем антивирус для роутеров?

KillTheCat ★★★★★ ()
Ответ на: комментарий от Deleted

вирусня попадает на роутер через ШЕРЕТО или через закладки в аппаратуре(см. packet of death)

ckotinko ☆☆☆ ()
Ответ на: комментарий от ckotinko

Через решето, но только на микторы и уязвимость закрыли уже

Deleted ()
Ответ на: комментарий от Neurotizer

так что теперь, считать разведки запада за лохопедов безруких? рафики ваще неуиновны.

ckotinko ☆☆☆ ()
Ответ на: комментарий от burato

Плюс ещё кто ему рута даст?

Ну, рута могут дать локальные уязвимости, которые находятся в ведре регулярно.

DawnCaster ()
Ответ на: комментарий от KillTheCat

Скорее - роутеры от касперского со встроенным антивирусом, и проксированием всего траффика через них.

DawnCaster ()
Ответ на: комментарий от Deleted

Он использует средство конфигурирования Winbox для загрузки DLL-файлов в память компьютера.

Поназагружают своих DLLей и воруют друг у друга скриншоты.

micronekodesu ★★ ()
Ответ на: комментарий от ckotinko

Да винваты, конечно, я же сам выкладывал тут архивы the Shadowbrockers, просто тенденция приписывать любую успешную вирусную атаку спецслужбам это такое себе.

Neurotizer ()
Ответ на: комментарий от tailgunner

Вирусня попадает на роутер через уязвимости. Если я прошью роутер прошивкой с закрытой уязвимостью - он попадет туда при помощи магии?

Ждём от тебя прошивку для какого-нибудь dlink-dir300.

IPR ★★★★★ ()

Великий Создатель, да когда же это всё закончится-то!...

targitaj ★★★★★ ()
Ответ на: комментарий от Deleted

странно что mikrotik до сих пор не запретили как оружие НАТО

Jopich1 ()
Ответ на: комментарий от tailgunner

Конечно, прошивка от ноунейма лучше дырявой официальной.

IPR ★★★★★ ()
Ответ на: комментарий от r0ck3r

судя по всему проникает в роутер, а оттуда уже пялит компы в сети

Надо антивирусмейкерам на вооружение взять. Слабать антивирус, который будет лазить в сети и патчить роутеры и компы

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от IPR

Конечно, прошивка от ноунейма лучше дырявой официальной

Обычно да :)

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от IPR

Ты хотел прошивку? Вот тебе прошивка. И да, она лучше.

tailgunner ★★★★★ ()
Ответ на: комментарий от IPR

Ждём от тебя прошивку для какого-нибудь dlink-dir300.

По опыту использования dir-300(dd-wrt) и dir-320(openwrt) - лучше купить другой роутер. У этих девайсов железо совсем слабое, dir-300 переодически повисал на пустом месте, хотя на нем ничего жрущего проц/память не было(от провайдера статически ip, по квартире раздавал dhcp ну и wi-fi). С dir-320 ситуация получше, но стоило поднять wrp с шифрованием отличным от mppe128 - начинались периодические висяки и перезагрузки...

Deleted ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)