Николай Чикишев 3 октября 2022, 12:43

Новый вирус Chaos заражает сотни устройств на базе Linux и Windows

Исследователи обнаружили часть кросс-платформенной вредоносной программы, которую назвали Chaos.

Специалисты Black Lotus Labs, исследовательского подразделения компании Lumen, отмечают, что программа заразила различные устройства на базе Linux и Windows, включая маршрутизаторы для небольших офисов, коробки FreeBSD и серверы крупных компаний. Слово Chaos неоднократно встречается в использующихся ею названиях функций, сертификатах и именах файлов.

С июня по середину июля было обнаружены сотни уникальных IP-адресов, которые представляли скомпрометированные устройства. За последние месяцы количество случаев заражений увеличилось. В мае было зафиксировано 39 заражений, к августу их число возросло до 93. К концу сентября показатель достиг 111 устройств. Больше всего заражений отмечается в Европе, есть небольшие очаги в Северной и Южной Америке, Азиатско-Тихоокеанском регионе.

Программа разработана для нескольких архитектур, в том числе ARM, Intel (i386), MIPS и PowerPC — в дополнение к ОС Windows и Linux. Chaos распространяется с помощью известных CVE и грубой силы, а также украденных SSH-ключей, в отличие от крупномасштабных ботнетов для распространения вымогательского ПО. Вредонос может распространяться от устройства к устройству внутри зараженной сети. Вирус с основного оборудования проникает во все связанные с ним устройства, ноутбуки, маршрутизаторы и так далее.

Chaos обладает различными возможностями, в том числе запуском удаленных оболочек для выполнения команд, а также загрузкой дополнительных модулей. Специалисты предполагают, что Chaos «является работой киберпреступника, который создает сеть заражённых устройств, чтобы использовать их для первоначального доступа, DDoS-атак и добычи криптовалют».

Эксперты рекомендуют обновлять свои маршрутизаторы, использовать надежные пароли и многофакторную аутентификацию на основе FIDO2. Владельцам маршрутизаторов рекомендуется выполнять перезагрузку своих устройств примерно раз в неделю. При использовании SSH всегда необходимо пользоваться криптографическим ключом при аутентификации.