По мнению экспертов, вирус пытается подключиться к устройству через протоколы HTTP/HTTPS. Проэксплуатировав уязвимость в прошивке, червь удаленно создает свою копию на маршрутизаторе, а также учетную запись с именем пользователя mother и паролем f u c k e r. Далее червь блокирует доступ администратора через web-интерфейс, копирует себя в файл rc.poststart и загружает предварительно скомпилированную версию библиотеки cURL. Затем вредоносная программа сбрасывает настройки скомпрометированного устройства до заводских и пытается инфицировать другие маршрутизаторы в сети.
Отметим, что проблема затрагивает устройства, на которых установлены устаревшие неисправленные версии прошивки AirOS 5.6.2 и ниже (airMAX M, airMAX AC, airOS 802.11G, ToughSwitch, airGateway, airFiber).
Интересно, что помимо создания бэкдора, блокировки доступа к устройству и распространения на другие маршрутизаторы, червь не демонстрирует никакой активности. Авторы вредоносной программы могут использовать ее в качестве первой фазы более масштабной операции.
И хотя Ubiquiti Networks выпустила патч для уязвимости еще год назад, многие пользователи не применили его до сих пор. По данным компании, от деятельности зловреда пострадало только незначительное число организаций, использующих сетевое оборудование Ubiquiti Networks.
