„Botnet“ kenkėjiška programa, turinti į kirminus panašių bruožų, nukreipta į populiarų „Redis“ saugyklos įrankį

Neidentifikuota įsilaužėlių grupė pradėjo ataką naudodama unikalią ir dėmesio vertą kenkėjiškos programinės įrangos atmainą, nukreiptą į viešai prieinamus Redis diegimus. „Redis“ yra populiarus didelių kompanijų, tokių kaip „Amazon“, „Hulu“ ir „Tinder“, pasirinkimas duomenims saugoti. Įspūdingiausia kenkėjiškos programinės įrangos savybė yra jos elgesys, panašus į kirminą, leidžiantis jai pačiai daugintis arba daugintis sistemose be žmogaus įsikišimo, gavus prieigą prie tinklo, kaip pabrėžia mokslininkai.

Saugumo tyrinėtojai neseniai susidūrė su pavojinga kenkėjiškų programų atmaina, pavadinta „ P2Pinfect “. Jų dėmesį patraukė puikus jo gebėjimas savarankiškai plisti ir užkrėsti kitus pažeidžiamus „Redis“ diegimus. Toks savaiminio plitimo elgesys kelia didelį susirūpinimą, nes dėl to kenkėjiška programa gali greitai išplėsti savo pasiekiamumą ir poveikį. Nepaisant išsamaus tyrimo, mokslininkai dar nenustatė konkrečių šios į botnetą panašios kenkėjiškos programos taikinių, todėl jos diegimo tikslas yra apgaubtas paslapties. Galimos tokios pažangios ir savarankiškos grėsmės pasekmės kibernetinio saugumo bendruomenėje iškėlė raudonas vėliavas, todėl būtina atlikti tolesnę analizę ir būti budriems siekiant apsisaugoti nuo galimų atakų.

Palo Alto 42 skyrius išanalizavo įsilaužimo kampaniją, o jų ataskaita, paskelbta liepos 19 d., atskleidė, kad kenkėjiška programa naudoja CVE-2022-0543, kad valdytų Redis programas ir asimiliuotų jas į robotų tinklą. Šį robotų tinklą sudaro užkrėstų kompiuterių rinkinys, kurį kontroliuoja įsilaužėlis. Nors 2022 m. tas pats pažeidžiamumas buvo anksčiau išnaudotas siekiant asimiliuoti įrenginius į Muhstik botnetą , naujausia kenkėjiška programa P2PInfect, atrodo, yra susijusi su atskiru piktavališku tinklu ir nėra susieta su Muhstik, remiantis 42 skyriaus išvadomis.
Ataskaita sutampa su daugeliu 42 skyriaus išvadų, atskleidžiančių, kad kenkėjiška programa yra užkoduota Rust programavimo kalba ir bando užkrėsti kitus pagrindinius kompiuterius, prijungtus prie robotų tinklo.

Tačiau buvo atrasti du reikšmingi skirtumai. Pirma, jų tyrėjų ištirtas kenkėjiškų programų pavyzdys nenaudojo CVE-2022-0543 kaip pradinio prieigos taško. Antra, „P2Pinfect“ nukreipė tiek „Windows“, tiek „Linux Redis“ egzempliorius. Jie pažymėjo, kad naudojant Rust programavimo kalbą kenkėjiška programa galėjo veikti tiek Windows, tiek Linux platformose, o analitikams buvo sudėtinga analizuoti kodą. Kenkėjiškų programų tikslas ir tapatybė lieka neaiškūs. Nors pažeistos sistemos ištraukia „miner failą“, atrodo, kad jos neatlieka kriptovaliutų gavybos užduočių. Šis „šakasys“ potencialiai galėtų pasitarnauti kaip grėsmės veikėjo būsimos kriptovaliutos platinimo vieta. Panašiai 42 skyrius stebėjo žodžio „miner“ atvejus P2PInfect grėsmingų įrankių rinkinyje, tačiau nerado įtikinamų kriptovaliutų gavybos operacijų įrodymų.

Kenkėjiška programa turi dvejopą paskirtį. Pirma, tai leidžia įsilaužėliams apsaugoti Redis serverį nuo kitų grėsmės veikėjų, bandančių jį pažeisti, kartu užtikrinant, kad serveris ir toliau veiktų teisėtai, taip išvengiant jo savininkų aptikimo. Užsikrėtus, pažeistas serveris tampa lygiaverčio botneto sudedamąja dalimi. Ši konfigūracija įgalina sklandų ryšį tarp visų „botnet“ mazgų, nereikalaujant centralizuoto „Ccommand-and-Control“ (C2) serverio. Tyrėjai teigia, kad komandos perduodamos tinkle perduodant pasirašytus pranešimus. Kenkėjiška programa taikosi į papildomus pagrindinius kompiuterius, kad platintų infekciją, rinkdama SSH tinklo ryšio protokolo vartotojų sąrašą, IP adresus ir prieigos raktus. Kai naujas pagrindinis kompiuteris gauna prieigą, kenkėjiška programa kartojasi taip, kaip iš pradžių užkrėtė pažeistą serverį. Tai reiškia, kad reikia paimti savo kopiją iš integruoto HTTP serverio ir vykdyti ją kaip argumentą su mazgų sąrašu, taip išplečiant jo pasiekiamumą iki kitų pažeidžiamų sistemų.

„Botnet“ kenkėjiška programa, turinti į kirminus panašių bruožų, nukreipta į populiarų „Redis“ saugyklos įrankį ekrano kopijos