Badacze bezpieczeństwa właśnie ogłosili odkrycie złośliwego oprogramowania o nazwie Raspberry Robin. I chociaż brzmi to jak połączenie Raspberry Pi z chłopcem uganiającym się za facetem przebranym za nietoperza, to można to przetłumaczyć na Malinowego Rudzika. Jest to wirus, który infekuje komputery z systemem Windows za pośrednictwem zewnętrznego dysku twardego lub innych pamięci USB.
Raspberry Robin
Specjaliści już od kilku miesięcy badają zachowanie tego złośliwego kodu. Wiedzą o nim prawie wszystko: od jego metod infekcji, po sposobu działania. Nie jest jednak znany jego ostateczny cel. Szkodliwe oprogramowanie to nienazwany robak QNAP, który został opisany w listopadzie ubiegłego roku przez firmę Sekoia, która zajmuje się cyberwywiadem. Nie należy więc wykluczać, że Raspberry Robin pracuje właśnie dla jakiegoś państwa. Warto także dodać, że Red Canary wykryła go w niektórych sieciach swoich klientów z branży technologicznej i produkcyjnej i śledziła go od września ubiegłego toku. I to właśnie Czerwony Kanarek nadał złośliwemu oprogramowaniu nazwę kodową Raspberry Robin.
Zobacz też: Antywirus na Androida kradł hasła – jak widać anty był tylko z nazwy
Skoro już historię odkrycia robaka mamy opisaną, to zajmijmy się tym, co on potrafi. Otóż jak już wspomniałem we wstępie, infekuje on komputery za pośrednictwem zainfekowanych nośników USB. Red Canary opisuje także kolejne kroki:
Raspberry Robin w przebraniu pliku LNK, wykorzystuje następnie cmd .exe systemu Windows do uruchomienia złośliwego pliku. Następnie wykorzystuje standardowy instalator Microsoftu, aby połączyć się z serwerami dowodzenia i kontroli: zazwyczaj są to podatne urządzenia QNAP. Następnie wykorzystuje węzły wyjściowe sieci TOR, aby zatrzeć ślady.
Oczywiście pozostało jeszcze wiele pytań:
Przede wszystkim nie wiemy, w jaki sposób i gdzie Raspberry Robin infekuje dyski zewnętrzne w celu utrwalenia swojej aktywności, choć prawdopodobnie odbywa się to w trybie offline lub w inny sposób poza zasięgiem naszego wzroku. Nie wiemy również, dlaczego Raspberry Robin instaluje złośliwą bibliotekę DLL.
Najważniejsze jest jednak to, że badacze nie mają pojęcia, co dalej z Raspberry Robin. Jak na razie złośliwy kod nie wykonał żadnych ruchów, które mogłyby przysporzyć korzyści jego twórcom. Możliwe, że czeka on na konkretną datę, albo sygnał z zewnątrz, lub inny impuls, aby przejść do działania, a jego autorzy czekają, aż się rozpowszechni na odpowiednio dużą liczbę komputerów. To jednak tylko hipoteza. Równie dobrze może on nie robić absolutnie nic więcej, ponad to, co zrobił do tej pory.
Źródło: TechSpot