Κακόβουλο λογισμικό RapperBot

Οι ερευνητές της Infosec εντόπισαν ένα επικίνδυνο κακόβουλο λογισμικό IoT (Internet of Things), το οποίο παρακολουθείται ως RapperBot. Η ανάλυση της απειλής αποκάλυψε ότι οι δημιουργοί της έχουν χρησιμοποιήσει σε μεγάλο βαθμό τον πηγαίο κώδικα του διαβόητου Mirai Botnet . Η απειλή Mirai χρησιμοποιήθηκε σε πολλές επιθέσεις υψηλού προφίλ προτού διαρρεύσει ο πηγαίος κώδικας της στο κοινό τον Οκτώβριο του 2016. Έκτοτε, οι ερευνητές της κυβερνοασφάλειας έχουν εντοπίσει περισσότερες από 60 παραλλαγές botnet και κακόβουλου λογισμικού χρησιμοποιώντας το Mirai ως βάση. Ωστόσο, όταν πρόκειται για το RapperBot, η απειλή εμφανίζει αρκετές σημαντικές αποκλίσεις από την τυπική συμπεριφορά του Mirai.

Λεπτομέρειες για το RapperBot κυκλοφόρησαν πρόσφατα σε έκθεση ερευνητών ασφαλείας. Σύμφωνα με τα ευρήματά τους, η απειλή είναι ενεργή από τον Ιούνιο του 2022 και βρίσκεται υπό ταχεία ανάπτυξη. Η απειλή του botnet χρησιμοποιεί τακτικές ωμής βίας για να αποκτήσει βάση σε διακομιστές Linux SSH, σε αντίθεση με την πιο τυπική εφαρμογή Mirai για στόχευση διακομιστών Telnet.

Σύμφωνα με την έκθεση, το RapperBot αναπτύσσει ραγδαία τους υποδουλωμένους διακομιστές του SSH με πάνω από 3.500 μοναδικές διευθύνσεις IP που σαρώνουν το Διαδίκτυο και βρίσκουν τον δρόμο τους σε νέα θύματα. Το RapperBot φαίνεται επίσης να έχει αφήσει πίσω του τις τεχνικές αυτοδιάδοσης που μοιάζουν με Mira υπέρ των μεθόδων που βασίζονται στην επιμονή. Ως αποτέλεσμα, η απειλή μπορεί να παραμείνει στο μολυσμένο σύστημα ακόμα και μετά από επανεκκίνηση ή απόπειρα αφαίρεσης από τα θύματα.

Η πρόσβαση στους διακομιστές που έχουν παραβιαστεί επιτυγχάνεται μέσω της προσθήκης του δημόσιου κλειδιού SSH των χειριστών. Το κλειδί εισάγεται σε ένα συγκεκριμένο αρχείο που ονομάζεται '~/.ssh/authorized_keys.' Στη συνέχεια, οι φορείς απειλών θα μπορούν να συνδέονται ελεύθερα με τον διακομιστή και να ελέγχουν την ταυτότητα χρησιμοποιώντας μόνο το αντίστοιχο ιδιωτικό κλειδί χωρίς να χρειάζεται να παρέχουν κωδικό πρόσβασης. Αυτή η τεχνική θα διατηρήσει την πρόσβαση στον διακομιστή ακόμα και αν ενημερωθούν τα διαπιστευτήρια SSH ή ο έλεγχος ταυτότητας με κωδικό πρόσβασης SSH είναι απενεργοποιημένος. Επιπλέον, αντικαθιστώντας το νόμιμο αρχείο, οι εγκληματίες του κυβερνοχώρου έχουν διαγράψει όλα τα υπάρχοντα εξουσιοδοτημένα κλειδιά, εμποδίζοντας τους νόμιμους χρήστες από την επιτυχή πρόσβαση στον παραβιασμένο διακομιστή SSH μέσω ελέγχου ταυτότητας δημόσιου κλειδιού.

Οι στόχοι των χειριστών του RapperBot Malware παραμένουν νεφελώδεις. Για παράδειγμα, οι φορείς απειλών αφαιρούν εντελώς τις δυνατότητες DDoS (Distributed Denial-of-Service) της απειλής, απλώς για να επαναφέρουν το τελευταίο, σε περιορισμένη μορφή.