Malware RapperBot

Výzkumníci společnosti Infosec identifikovali nebezpečný malware IoT (Internet of Things), sledovaný jako RapperBot. Analýza hrozby odhalila, že její tvůrci hojně využívali zdrojový kód nechvalně známého botnetu Mirai . Hrozba Mirai byla použita v několika významných útocích, než byl její zdrojový kód propuštěn na veřejnost v říjnu 2016. Od té doby výzkumníci v oblasti kybernetické bezpečnosti identifikovali více než 60 variant botnetů a malwaru využívajících Mirai jako základ. Nicméně, pokud jde o RapperBot, hrozba vykazuje několik zásadních odchylek od typického chování Mirai.

Podrobnosti o RapperBot byly nedávno zveřejněny ve zprávě bezpečnostních výzkumníků. Podle jejich zjištění je hrozba aktivní od června 2022 a prochází prudkým rozvojem. Hrozba botnetu využívá taktiku hrubé síly, aby se prosadila na serverech Linux SSH, na rozdíl od typičtější implementace Mirai zaměřené na servery Telnet.

Podle zprávy RapperBot rychle roste na svých zotročených SSH serverech s více než 3 500 jedinečnými IP adresami, které skenují internet a brutálně si prosazují cestu k novým obětem. Zdá se také, že RapperBot zanechal své techniky sebepropagace podobné Mira ve prospěch metod více založených na perzistenci. V důsledku toho může hrozba zůstat na infikovaném systému i po restartu nebo pokusu o odstranění obětí.

Přístup k prolomeným serverům je dosažen přidáním veřejného klíče SSH operátora. Klíč je vložen do specifického souboru s názvem '~/.ssh/authorized_keys.' Poté se budou moci aktéři hrozeb volně připojit k serveru a autentizovat se pouze pomocí odpovídajícího soukromého klíče, aniž by museli zadávat heslo. Tato technika zachová přístup k serveru, i když se aktualizují přihlašovací údaje SSH nebo je deaktivováno ověřování heslem SSH. Kromě toho, nahrazením legitimního souboru, kyberzločinci smazali všechny aktuálně existující autorizované klíče, čímž zabránili legitimním uživatelům v úspěšném přístupu k kompromitovanému SSH serveru prostřednictvím ověřování veřejného klíče.

Cíle provozovatelů RapperBot Malware zůstávají mlhavé. Například aktéři hrozeb zcela odstraňují schopnosti DDoS (Distributed Denial-of-Service) hrozby, jen aby je znovu zavedli v omezené podobě.