Bitxor20 Botnet

Kyberturvallisuusasiantuntijat ovat saaneet kiinni uuden Log4J-haavoittuvuutta hyödyntävän bottiverkon. Uhkaa jäljitetään Bitxor20-bottiverkona ja sen pääkohteet ovat Linux-järjestelmät. Kun vaarantuneet laitteet on lisätty bottiverkkoon, ne voidaan käskeä suorittamaan suuri luettelo uhkaavista toiminnoista. Qihoo 360:n Network Security Research Labin (360 Netlab) raportin mukaan Bitxor20 kerää arkaluontoisia tietoja, ottaa käyttöön rootkit-paketteja, avaa käänteiset kuoret ja perustaa Web-välityspalvelimet.

Pysyäkseen näkymättömänä uhka käyttää hyväksi todettua DNS-tunnelointimenetelmää. Ensinnäkin kaikki kaapatut tiedot, komentojen tulokset tai muu tarvittava data salataan erityisillä koodaustekniikoilla. Sitten se toimitetaan toiminnon Command-and-Control (C2, C&C) palvelimelle DNS-pyynnönä. Vastauksena C2-palvelin palauttaa valitun hyötykuorman bottilaitteelle. On huomattava, että haittaohjelman tekijät ovat ottaneet käyttöön tietyt uhkaavat ominaisuudet, jotka on löydetty osana Bitxor20:tä. Tämä seikka voi olla merkki siitä, että uhka on edelleen aktiivisen kehityksen alla ja voi kasvaa entisestään tulevaisuudessa.