بدافزار لینوکسی رزبری پای را به باتی برای استخراج پول تبدیل می‌کند

لینوکس مال‌دراپ ۱۴ (Linux.MulDrop.14) نام یک کرم لینوکسی است که سیستم‌های شبکه‌‌ای رزبری‌پای را که رمزعبور پیش‌فرض روت آن‌ها تغییر نکرده، جستجو می‌کند و پس از نفوذ به این شبکه‌ها با استفاده از ZMap و sshpass عملیات معدن‌یابی یک واحد پولی رمزنگاری شده‌ی نا‌مشخص را آغاز می‌کند. بدین ترتیب با آلوده شدن شبکه‌های مورد بحث، رزبری‌پای‌های آلوده شده به منابعی برای درآمدزایی سازنده‌ی این کرم لینوکسی تبدیل خواهد شد.

متخصصان می‌گویند آلوده شدن اولیه‌ در شرایطی انجام خواهد شد که اپراتورهای رزبری‌پای پورت‌های اس‌اس‌اچ و اتصالات خارجی دستگاه‌های خود را باز نگه‌ می‌دارند.

پس از اینکه دستگاه مبتنی بر رزبری‌پای تحت تاثیر لینوکس مال‌دراپ ۱۴ قرار گرفت، این بد‌افزار رمزعبور پیش‌فرض حساب‌ کاربری "pi" را به:

$6$U1Nu9qCp$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1

تغییر می‌دهد. در مرحله‌ی بعد لینوکس مال‌دراپ ۱۴ چندین فرآیند پردازشی فعال در رزبری‌پای را لغو کرده و کتابخانه‌های مورد نیاز برای انجام فعالیت‌های خود را نصب می‌کند. از جمله این کتابخانه‌ها می‌توان به ZMap و sshpass اشاره کرد.

بدافزار لینوکسی مورد اشاره در این گام فرآیند معدن‌یابی پول رمزنگاری شده را آغاز کرده و به طور دائمی و بدون وقفه با استفاده از ZMap، دیگر دستگاه‌هایی را که پورت اس‌اس‌اچ‌ آن‌ها باز است، جستجو می‌کند.

پس از یافتن دستگاه‌های جدید، این بدافزار تلاش می‌کند با استفاده از sshpass با نام کاربری pi و رمزعبور پیش‌فرض raspberry عملیات نفوذ را انجام دهد. لازم به ذکر است که نام‌ کاربری و رمزعبور یاد شده تنها اطلاعاتی است که به منظور نفوذ بدافزار لینوکس مال‌دراپ ۱۴ به رایانه‌های مبتنی بر رزبری‌پای مورد استفاده قرار می‌گیرد.

بدین ترتیب برای جلوگیری از آلوده شدن به این بدافزار بهترین کار تغییر رمزعبور پیش‌فرض اس‌اس‌اچ در رزبری‌پای است.

No tags for this post.