RapperBoti pahavara

Infoseci teadlased on tuvastanud ohtliku asjade Interneti (Internet of Things) pahavara, mida jälgitakse kui RapperBot. Ohu analüüs näitas, et selle loojad on kurikuulsa Mirai Botneti lähtekoodi palju kasutanud. Mirai ohtu kasutati mitmetes kõrgetasemelistes rünnakutes, enne kui selle lähtekood 2016. aasta oktoobris avalikkusele lekkis. Sellest ajast alates on küberjulgeoleku teadlased tuvastanud enam kui 60 botneti ja pahavara varianti, kasutades Miraid. Kui aga tegemist on RapperBotiga, näitab see oht mitmeid olulisi kõrvalekaldeid tüüpilisest Mirai käitumisest.

Üksikasjad RapperBoti kohta avaldati hiljuti turvateadlaste aruandes. Nende järelduste kohaselt on oht olnud aktiivne alates 2022. aasta juunist ja on kiires arengus. Botivõrgu oht kasutab Linuxi SSH-serverites jalad alla saamiseks jõhkra jõu taktikat, erinevalt tüüpilisemast Mirai teostusest, mis sihib Telneti servereid.

Aruande kohaselt kasvatab RapperBot kiiresti oma orjastatud SSH-servereid, millel on üle 3500 unikaalse IP-aadressi, mis skannivad Internetti ja sunnivad neid uute ohvrite juurde. Näib, et RapperBot on ka oma Mira-laadsed enesepaljundamise tehnikad endast maha jätnud püsivusepõhiste meetodite kasuks. Selle tulemusena võib oht jääda nakatunud süsteemi ka pärast taaskäivitamist või ohvrite eemaldamiskatset.

Juurdepääs rikutud serveritele saavutatakse operaatorite avaliku SSH võtme lisamisega. Võti sisestatakse kindlasse faili nimega '~/.ssh/authorized_keys'. Seejärel saavad ohus osalejad vabalt serveriga ühenduse luua ja autentida ainult vastavat privaatvõtit kasutades, ilma et oleks vaja parooli sisestada. See meetod säilitab juurdepääsu serverile isegi siis, kui SSH-mandaate värskendatakse või SSH-parooli autentimine on keelatud. Lisaks on küberkurjategijad legitiimse faili asendamisega kustutanud kõik praegu olemasolevad volitatud võtmed, takistades seaduslikel kasutajatel avaliku võtmega autentimise kaudu rikutud SSH-serverile edukat juurdepääsu.

RapperBot Malware operaatorite eesmärgid on endiselt hägused. Näiteks eemaldavad ohus osalejad täielikult ohu DDoS-i (Distributed Denial-of-Service) võimalused, et viimane piiratud kujul uuesti kasutusele võtta.