„Bitxor20“ robotų tinklas

Kibernetinio saugumo ekspertai užfiksavo naują botnetą, išnaudojantį Log4J pažeidžiamumą. Grėsmė stebima kaip „Bitxor20“ botnetas, o pagrindiniai jo taikiniai yra „Linux“ sistemos. Pridėjus prie botneto, pažeistiems įrenginiams gali būti nurodyta atlikti daugybę grėsmingų funkcijų. Iš tiesų, remiantis Qihoo 360 tinklo saugumo tyrimų laboratorijos (360 Netlab) ataskaita, Bitxor20 renka neskelbtiną informaciją, diegia rootkit, atidaro atvirkštinius apvalkalus ir sukuria žiniatinklio tarpinius serverius.

Kad liktų nepastebėta, grėsmė naudoja išbandytą ir tikrą DNS tuneliavimo metodą. Pirma, visa užfiksuota informacija, komandų rezultatai ar kiti reikalingi duomenys yra užšifruojami naudojant tam tikrus kodavimo būdus. Tada jis pristatomas į operacijos komandų ir valdymo (C2, C&C) serverį kaip DNS užklausa. Atsakydamas, C2 serveris grąžina pasirinktą naudingą apkrovą roboto įrenginiui. Reikėtų pažymėti, kad tam tikras grėsmingas funkcijas, kurios buvo aptiktos kaip Bitxor20 dalis, buvo įjungtos kenkėjiškų programų kūrėjų. Šis faktas gali reikšti, kad grėsmė vis dar aktyviai vystoma ir ateityje gali tapti dar stipresnė.