Исследователи обнаружили часть кросс-платформенной вредоносной программы, которая заразила различные устройства на базе Linux и Windows, включая маршрутизаторы для небольших офисов, коробки FreeBSD и серверы крупных предприятий.
Программу назвали Chaos. Это слово неоднократно встречается в использующихся ею названиях функций, сертификатах и именах файлов. В период с июня по середину июля обнаружено сотни уникальных IP-адресов, которые представляют скомпрометированные устройства, заражённые Chaos.
При этом в последние месяцы количество серверов, используемых для заражения новых устройств, увеличилось с 39 в мае до 93 в августе. Ко вторнику последней недели сентября показатель этот достиг 111. Заражения в наибольшей степени сконцентрированы в Европе, с небольшими очагами в Северной и Южной Америке и Азиатско-Тихоокеанском регионе.
Специалисты Black Lotus Labs, исследовательского подразделения компании Lumen, заявили, что потенциал вредоносной программы обусловлен несколькими факторами. Во-первых, она разработана для работы на нескольких архитектурах, включая: ARM, Intel (i386), MIPS и PowerPC — в дополнение к ОС Windows и Linux. Во-вторых, в отличие от крупномасштабных ботнетов для распространения вымогательского ПО, таких как Emotet, которые используют спам для распространения и роста, Chaos распространяется с помощью известных CVE и грубой силы, а также украденных SSH-ключей.
Упомянутые CVE относятся к механизму, используемому для отслеживания конкретных уязвимостей. Речь идёт в том числе про CVE-2017-17215 и CVE-2022-30525, которые затрагивают межсетевые брандмауэры от Huawei, а также CVE-2022-1388, затрагивающие устройства сетевого контроля от F5.
Вредоносная программа способна распространяться от устройства к устройству внутри заражённой сети. При попадании на основное оборудование (например, на ПК), вирус проникает и во все связанные с ним устройства, ноутбуки, маршрутизаторы и так далее.
В сочетании с возможностью запуска на широком спектре устройств, эти возможности заставили Black Lotus Labs подозревать, что Chaos «является работой киберпреступника, который создает сеть заражённых устройств, чтобы использовать их для первоначального доступа, DDoS-атак и добычи криптовалют».
Исследователи считают, что Chaos является ответвлением Kaiji, части ботнета для серверов AMD и i386 на базе Linux для проведения DDoS-атак. Эксперты рекомендуют обновлять свои маршрутизаторы, использовать надёжные пароли и по возможности многофакторную аутентификацию на основе FIDO2.
Владельцам маршрутизаторов в небольших офисах рекомендуется выполнять перезагрузку своих устройств примерно раз в неделю. Те, кто использует SSH, всегда должны пользоваться криптографическим ключом для аутентификации.