Новый вирус атакует встраиваемые системы

Embedded Маркет
, Текст: Антон Труханов

Специалисты по безопасности из компании Symantec недавно сообщили об обнаружении нового вируса. Он нацелен на заражение встраиваемых Linux-систем, работающих в различных устройствах, таких как телевизионные приставки или роутеры.

Как отмечают исследователи, пользователи такого рода устройств зачастую вообще забывают об их существовании, позволяя устройствам работать, пока не начинаются какие-либо проблемы. Программное обеспечение такого рода устройств, как правило, не обновляется. Недавно обнаруженный экспертами червь Linux.Darlloz атакует устаревшие встраиваемые Linux-системы, работающие в устройствах от компании Intel. И, хотя доля таких встраиваемых систем невелика по сравнению с их общим количеством, для создателей этого вируса, скорее всего, не составит труда модифицировать его, перенаправив на атаки систем на устройствах от других производителей.

Помимо отсутствия обновления ПО, многие из такого рода встраиваемых систем имеют еще и «постоянные» ошибки и уязвимости, которые никогда не будут исправлены производителями устройства, что делает их практически незащищенными перед хакерскими атаками. Исследование показало, что подготовленный злоумышленник может без особенного труда заразить вредоносным кодом более миллиона устройств, заставив их осуществлять масштабную DDoS-атаку.

Как отметила эксперт по безопасности Энг Куи (Ang Cui), атаки на встраиваемые системы являются особенно опасными, потому что такие системы сложно проверить на наличие вредоносного кода и вернуть под контроль пользователя. Если хакер заражает вредоносным кодом роутер, принтер или телевизионную приставку, он может без особенного труда запрограммировать устройство принимать обновления ПО, не устанавливая их на самом деле. В результате система так никогда и не вернется под контроль пользователя.

Впрочем, в отчете Symantec говорится о том, что новый червь Linux.Darlloz настроен на намного более примитивный и менее амбициозный тип хакерской атаки, однако сам факт его появления вызывает беспокойство за будущее встраиваемых систем. «После запуска червь генерирует IP-адреса случайным образом, получает доступ к определенному пути на машине с хорошо известными ID и паролями, после чего посылает запросы HTTP POST, которые эксплуатируют уязвимость. Если встраиваемая система не обновлена, она скачивает червь с вредоносного сервера и начинает искать новую цель. На сегодняшний день, по нашим наблюдениям, червь поражает только системы Intel x86», – говорится в отчете Symantec.

Хотя данный конкретный червь Darlloz не представляет собой какой-либо серьезной угрозы, в долгосрочной перспективе он демонстрирует уязвимость устройств, использующих встраиваемые системы на Linux или другие типы систем, которые давно не обновлялись. К тому же многие подключаемые к интернету потребительские устройства вообще не могут получить обновление программного обеспечения, так как их аппаратное наполнение не предполагает изменение версии кода. Благодаря этому взлом таких устройств становится достаточно простым для злоумышленников.