CERT Orange Polska w ostatnich dniach zaobserwowało znaczny wzrost infekcji koniem trojańskim „The Moon”. To specyficzny rodzaj złośliwego oprogramowania, nie usiłuje on bowiem włamać się na nasz komputer, lecz na urządzenia sieciowe. Za ich pomocą może przechwytywać nasze dane ze znacznie mniejszym ryzykiem wykrycia, a także wykorzystywać podłączone do sieci urządzenia jako elementy botnetu.
The Moon to kolejna hybryda rodziny złośliwego oprogramowania, zidentyfikowanej już kilka lat temu. Wykorzystuje ono podatności w urządzeniach z systemem Linux, ze szczególnym naciskiem na używane w domach routery, za pomocą których łączymy się z internetem. Malware umożliwia przejęcie zdalnej kontroli nad urządzeniem przy pominięciu autentykacji z wykorzystaniem protokołu NHAP (Challenge Handshake Authentication Protocol). Infekcja może nastąpić m.in. w wyniku kliknięcia przez użytkownika w złośliwy link z maila phishingowego, bądź uruchomienie fałszywego komunikatu, czy reklamy podczas przeglądania witryny internetowej. Powoduje to wykonanie exploita, a kolejne pobierane pliki .nttpd umożliwiają zestawienie komunikacji z listą serwerów zdalnego zarządzania (C&C) w celu pozyskania dodatkowych instrukcji lub plików wykonywalnych.
Co robić?
Przede wszystkim upewnijcie się raz jeszcze, że zmieniliście domyślne hasło dostępu do Waszych routerów i nie są one dostępne z internetu. W przypadku urządzeń z sieci sprzedaży Orange dostęp z internetu jest domyślnie wyłączony.