Objavljeno: 11.1.2024 07:00

Varianta črva Mirai na napravah Linux rudari kriptovalute

Že leto dni po celem svetu naprave, na katerih teče Linux, napada varianta znamenitega virusa Mirai, ki je predelana za rudarjenje kriptovalut. Novi NoaBot se širi prek povezav SSH s slabo izbranimi gesli in izkorišča okužene naprave za finančne koristi. Uporablja kriptopogon XMRig.

Mirai je zaslovel leta 2016, ko je onesposobil dober del interneta, ko se je eksponentno širil po različnih napravah z Linuxom. Kmalu so njegovi avtorji javno objavili še izvorno kodo, kar je bilo kot naročeno za kriminalce po celem svetu, ki so jadrno jeli izdelovati svoje variante.

Ena izmed njih je tudi NoaBot, ki se širi vsaj od lanskega januarja. Medtem ko je originalna verzija uporabljala povezave Telnet in poizkusila uganiti privzeta ali pogosta gesla, pa NoaBot enako počne s povezavami SSH. Nato pa tarčnih sistemih ne izvaja napadov DDoS, temveč rudari kriptovalute. V zadnjem času pa je začel širiti še črva P2PInfect.

V podjetju Akamai, ki že leto dni spremljajo širjenje črva, pojasnjujejo, da tehnično ne gre za posebej novo izvedbo. Na odprto verzijo črva Mirai so neznanci pripeli XMRig, ki je tudi prosto dostopen. Presenetljiv pa je način, kako sta koda in delovanja črva zakrita (obfuscation), s čimer se skuša izogniti prepoznavi. Poleg tega ima NoaBot še nekaj razlik v primerjavi s črvom Mirai, ki so namenjene večji uspešnosti. Razširjen je po celem svetu, trenutno pa teče na vsaj 850 različnih napravah, gledano po naslovih IP.

Akamai