Linux/Moose – fałszywy zew białego łosia

Sprawa jest dość świeża, zatem spodziewajcie się w niedługim czasie zalewu internetu nagłówkiem: Nowy wirus atakuje Linuksy w routerach. Wykryty i rozpracowany Linux/Moose to szkodnik który ładuje się z kopytami na nasze routery, które nomen omen działają pod kontrolą wspomnianego systemu. Rzecz w tym, że Linux/Moose robi sobie z naszego sprzętu paśnik tylko wtedy, jeżeli zaniechamy jakichkolwiek form bezpieczeństwa i działamy na łatwym do złamania haśle administratora oraz mamy udostępnioną obsługę routera od strony internetu. Innymi słowy, szkodnik ten nie funkcjonuje dzięki dziurze osadzonego w sprzęcie Linuksa, a jedynie wykorzystuje łatwe hasło i felerną konstrukcję routera (możliwość wrzucenia i uruchomienia własnej binarki).

Linux/Moose i jego koncepcja
Co, gdzie, jak… Zanim nerwowo zaczniemy wyrywać wtyczkę z portu WAN, kilka słów o Linux/Moose. Szkodnik ten powstał (wg. badających) w celu przechwytywania danych wędrujących od nas do serwisów społecznościowych. Po zainfekowaniu zaatakowane urządzenia są wykorzystywane do wyłuskiwania danych z niekodowanego ruchu sieciowego i ustanowienia proxy dla operatorów botnetu. Linux/Moose podbiera nasze ciasteczka HTTP w celu wykonywania na Facebooku, Twitterze, Instagramie, YouTubie i kilku innych serwisach działań typu „obserwuję”, „lubię” i „wyświetlenia”. Brzmi niegroźnie? Uniwersalność Linux/Moose sprawia jednak, że z powodzeniem może zostać wykorzystany do ataków DOS, wykradania haseł bankowych, przechwytywania zapytań DNS, i całej reszty zachowań typowych dla ataków man-in-the-middle. Jak do tej pory podatne na jego działanie okazały się urządzenia producentów Actiontec, Hik Vision, Netgear, Synology, TP-Link, ZyXEL, i Zhone. W tej liście szczególnie niepokoi obecność popularnego w naszym regionie Europy producenta TP-Link.

Szkodnik dostaje się na router w postaci pliku elan2. Aby umieścić go na naszym routerze, atakujący wykorzystuje fakt udostępnienia administracji urządzenia od strony internetu oraz wykonuje atak brute force na hasło. Żadnej finezji. Po uruchomieniu (na wspominanych urządzeniach), Linux/Moose rozpoczyna nasłuchiwanie ruchu sieciowego i swoją aktywność na serwisach społecznościowych.

Jak się przed tym bronić? Aktualizować firmware, zmieniać hasło administratora, wykorzystywać nietypowe pule adresowe dla sieci LAN (np. 10.10.80.0/24). Bardziej zaawansowani użytkownicy mogą wykorzystać informacje z opublikowanego śledztwa nt. Linux/Moose i aktywność na określonych portach.

Lecz pomimo powyższego i na przekór nazwie wirusa (Linux/Moose) – to nie Linux jest tutaj słabym ogniwem, a banalne hasło i dostęp do routera.