Το κακόβουλο λογισμικό Botnet με χαρακτηριστικά που μοιάζουν με σκουλήκια στοχεύει στο δημοφιλές εργαλείο αποθήκευσης Redis

Μια άγνωστη ομάδα χάκερ εξαπέλυσε μια επίθεση χρησιμοποιώντας ένα μοναδικό και αξιοσημείωτο είδος κακόβουλου λογισμικού που στοχεύει δημόσια προσβάσιμες αναπτύξεις Redis. Το Redis είναι η δημοφιλής επιλογή μεγάλων εταιρειών όπως η Amazon, η Hulu και η Tinder για αποθήκευση δεδομένων. Το πιο εντυπωσιακό χαρακτηριστικό του κακόβουλου λογισμικού είναι η συμπεριφορά του σαν σκουλήκι, που του επιτρέπει να αυτοδιαδίδεται ή να αναπαράγεται σε συστήματα χωρίς ανθρώπινη παρέμβαση αφού αποκτήσει πρόσβαση σε ένα δίκτυο, όπως τονίζουν οι ερευνητές.

Οι ερευνητές ασφαλείας αντιμετώπισαν πρόσφατα ένα ανησυχητικό είδος κακόβουλου λογισμικού που ονομάζεται " P2Pinfect ". Η αξιοσημείωτη ικανότητά του να εξαπλώνεται αυτόνομα και να μολύνει άλλες ευάλωτες αναπτύξεις Redis τράβηξε την προσοχή τους. Αυτή η συμπεριφορά αυτοδιάδοσης εγείρει σημαντικές ανησυχίες, καθώς μπορεί να επιτρέψει στο κακόβουλο λογισμικό να επεκτείνει την εμβέλειά του και τον αντίκτυπό του γρήγορα. Παρά την εκτεταμένη έρευνά τους, οι ερευνητές δεν έχουν ακόμη εντοπίσει τους συγκεκριμένους στόχους αυτού του κακόβουλου λογισμικού που μοιάζει με botnet, αφήνοντας το σκοπό της ανάπτυξής του καλυμμένο με μυστήριο. Οι πιθανές συνέπειες μιας τέτοιας προηγμένης και αυτόνομης απειλής έχουν υψώσει κόκκινες σημαίες στην κοινότητα της κυβερνοασφάλειας, δικαιολογώντας περαιτέρω ανάλυση και επαγρύπνηση για προστασία από πιθανές επιθέσεις.

Η Unit 42 του Palo Alto ανέλυσε την εκστρατεία hacking και η έκθεσή της, που κυκλοφόρησε στις 19 Ιουλίου, αποκάλυψε τη χρήση του CVE-2022-0543 από το κακόβουλο λογισμικό για να ρυθμίσει τις εφαρμογές Redis και να τις αφομοιώσει σε ένα botnet. Αυτό το botnet περιλαμβάνει μια συλλογή μολυσμένων υπολογιστών υπό τον έλεγχο του χάκερ. Ενώ η ίδια ευπάθεια είχε υποβληθεί σε προηγούμενη εκμετάλλευση για την αφομοίωση συσκευών στο botnet Muhstik το 2022 , το πιο πρόσφατο κακόβουλο λογισμικό, το P2PInfect, φαίνεται να σχετίζεται με ένα διακριτό κακόβουλο δίκτυο και δεν συνδέεται με το Muhstik, σύμφωνα με τα ευρήματα της Ενότητας 42.
Η αναφορά ευθυγραμμίζεται με πολλά από τα ευρήματα της Ενότητας 42, αποκαλύπτοντας ότι το κακόβουλο λογισμικό είναι κωδικοποιημένο στη γλώσσα προγραμματισμού Rust και προσπαθεί να μολύνει άλλους κεντρικούς υπολογιστές μόλις συνδεθούν στο botnet.

Ωστόσο, ανακαλύφθηκαν δύο αξιοσημείωτες διακρίσεις. Πρώτον, το δείγμα κακόβουλου λογισμικού που αναλύθηκε από τους ερευνητές τους δεν εκμεταλλεύτηκε το CVE-2022-0543 ως αρχικό σημείο πρόσβασης. Δεύτερον, το P2Pinfect στόχευσε τόσο τις περιπτώσεις Windows όσο και Linux Redis. Σημείωσαν ότι η χρήση της γλώσσας προγραμματισμού Rust επέτρεψε στο κακόβουλο λογισμικό να λειτουργεί τόσο σε πλατφόρμες Windows όσο και σε πλατφόρμες Linux, ενώ καθιστούσε πρόκληση για τους αναλυτές να αναλύσουν τον κώδικα. Ο σκοπός και η ταυτότητα όσων βρίσκονται πίσω από το κακόβουλο λογισμικό παραμένουν ασαφή. Αν και τα παραβιασμένα συστήματα τραβούν ένα "αρχείο εξόρυξης", δεν φαίνεται να εκτελεί εργασίες εξόρυξης κρυπτονομισμάτων. Αυτός ο "miner" θα μπορούσε ενδεχομένως να χρησιμεύσει ως ένα σύμβολο κράτησης θέσης για μελλοντική διανομή κρυπτοεξόρυξης από τον παράγοντα απειλής. Ομοίως, η Μονάδα 42 παρατήρησε περιπτώσεις της λέξης "miner" στην απειλητική εργαλειοθήκη του P2PInfect, αλλά δεν βρήκε οριστικά στοιχεία για εργασίες εξόρυξης κρυπτονομισμάτων.

Το κακόβουλο λογισμικό έχει διπλό σκοπό. Πρώτον, επιτρέπει στους χάκερ να προστατεύουν τον διακομιστή Redis από άλλους παράγοντες απειλών που προσπαθούν να τον παραβιάσουν, διασφαλίζοντας παράλληλα ότι ο διακομιστής συνεχίζει να λειτουργεί νόμιμα, αποφεύγοντας έτσι τον εντοπισμό από τους κατόχους του. Μετά τη μόλυνση, ο παραβιασμένος διακομιστής γίνεται συστατικό ενός peer-to-peer botnet. Αυτή η διαμόρφωση επιτρέπει την απρόσκοπτη επικοινωνία μεταξύ όλων των κόμβων botnet χωρίς να απαιτείται κεντρικός διακομιστής Ccommand-and-Control (C2). Οι ερευνητές προτείνουν οι εντολές να κυκλοφορούν με τη μετάδοση υπογεγραμμένων μηνυμάτων σε όλο το δίκτυο. Το κακόβουλο λογισμικό στοχεύει επιπλέον κεντρικούς υπολογιστές για τη διάδοση της μόλυνσης συλλέγοντας μια λίστα χρηστών, διευθύνσεις IP και κλειδιά πρόσβασης για το πρωτόκολλο επικοινωνίας δικτύου SSH. Μόλις αποκτήσει πρόσβαση ένας νέος κεντρικός υπολογιστής, το κακόβουλο λογισμικό αναπαράγεται σαν να μολύνει αρχικά τον παραβιασμένο διακομιστή. Αυτό περιλαμβάνει τη λήψη ενός αντιγράφου του εαυτού του από τον ενσωματωμένο διακομιστή HTTP και την εκτέλεσή του με μια λίστα κόμβων ως όρισμα, επεκτείνοντας έτσι την εμβέλειά του σε άλλα ευάλωτα συστήματα.

Το κακόβουλο λογισμικό Botnet με χαρακτηριστικά που μοιάζουν με σκουλήκια στοχεύει στο δημοφιλές εργαλείο αποθήκευσης Redis Στιγμιότυπα οθόνης