RapperBot haittaohjelma
Infosecin tutkijat ovat tunnistaneet vaarallisen IoT (Internet of Things) -haittaohjelman, jota seurataan nimellä RapperBot. Uhan analyysi on paljastanut, että sen tekijät ovat käyttäneet pahamaineisen Mirai-botnetin lähdekoodia raskaasti. Mirai-uhkaa käytettiin useissa korkean profiilin hyökkäyksissä ennen sen lähdekoodin vuotamista julkisuuteen lokakuussa 2016. Sen jälkeen kyberturvallisuustutkijat ovat tunnistaneet yli 60 botnet- ja haittaohjelmaversiota Mirain pohjalta. Kuitenkin, mitä tulee RapperBotiin, uhka näyttää useita merkittäviä poikkeamia tyypillisestä Mirai-käyttäytymisestä.
Yksityiskohdat RapperBotista julkaistiin tietoturvatutkijoiden raportissa äskettäin. Heidän havaintojensa mukaan uhka on ollut aktiivinen kesäkuusta 2022 lähtien ja kehittyy nopeasti. Bottiverkkouhka käyttää raa'an voiman taktiikkaa saadakseen jalansijaa Linuxin SSH-palvelimissa, toisin kuin tyypillisemmässä Telnet-palvelimiin kohdistetussa Mirai-toteutuksessa.
Raportin mukaan RapperBot kasvattaa nopeasti orjuutettuja SSH-palvelimiaan yli 3 500 ainutlaatuisella IP-osoitteella, jotka skannaavat Internetiä ja pakottavat tiensä uusiin uhreihin. RapperBot näyttää myös jättäneen jälkeensä Mira-kaltaiset itselisäystekniikat ja suosivat sitkeyteen perustuvia menetelmiä. Tämän seurauksena uhka voi jäädä tartunnan saaneeseen järjestelmään jopa uudelleenkäynnistyksen tai uhrien poistamisyrityksen jälkeen.
Pääsy rikottuihin palvelimiin saavutetaan lisäämällä operaattoreiden julkinen SSH-avain. Avain ruiskutetaan tiettyyn tiedostoon nimeltä ~/.ssh/authorized_keys. Myöhemmin uhkatoimijat voivat muodostaa vapaasti yhteyden palvelimeen ja todentaa käyttämällä vain vastaavaa yksityistä avainta ilman salasanan antamista. Tämä tekniikka säilyttää pääsyn palvelimeen, vaikka SSH-tunnistetiedot päivitetään tai SSH-salasanan todennus poistetaan käytöstä. Lisäksi korvaamalla laillisen tiedoston verkkorikolliset ovat poistaneet kaikki olemassa olevat valtuutetut avaimet, mikä estäisi laillisia käyttäjiä pääsemästä vaarantuneeseen SSH-palvelimeen julkisen avaimen todentamisen kautta.
RapperBot Malwaren operaattoreiden tavoitteet ovat edelleen epäselviä. Uhkatoimijat esimerkiksi poistavat uhan DDoS-ominaisuudet (Distributed Denial-of-Service) kokonaan, vain ottaakseen uhan uudelleen käyttöön rajoitetussa muodossa.
