„RapperBot“ kenkėjiška programa

„Infosec“ tyrėjai nustatė pavojingą daiktų interneto (Internet of Things) kenkėjišką programą, stebimą kaip „RapperBot“. Grėsmės analizė atskleidė, kad jos kūrėjai intensyviai naudojo liūdnai pagarsėjusio „ Mirai Botnet “ šaltinio kodą. Mirai grėsmė buvo panaudota keliose aukšto lygio atakose, kol jos šaltinio kodas 2016 m. spalio mėn. buvo nutekėjęs visuomenei. Nuo tada kibernetinio saugumo tyrinėtojai nustatė daugiau nei 60 robotų tinklų ir kenkėjiškų programų variantų, naudodami Mirai. Tačiau kalbant apie RapperBot, grėsmė rodo keletą didelių nukrypimų nuo įprasto Mirai elgesio.

Išsamią informaciją apie RapperBot neseniai paskelbė saugumo tyrinėtojai. Remiantis jų išvadomis, grėsmė buvo aktyvi nuo 2022 metų birželio ir sparčiai vystosi. „Botnet“ grėsmė naudoja žiaurios jėgos taktiką, kad įsitvirtintų „Linux“ SSH serveriuose, skirtingai nei tipiškesnis „Mirai“ diegimas, nukreiptas į Telnet serverius.

Remiantis ataskaita, „RapperBot“ sparčiai plečia savo pavergtus SSH serverius, kuriuose yra daugiau nei 3500 unikalių IP adresų, nuskaitančių internetą ir žiauriai priverčiančių patekti į naujas aukas. Panašu, kad „RapperBot“ taip pat paliko savo „Mira“ tipo savaiminio dauginimosi metodus, o ne atkaklumu pagrįstus metodus. Dėl to grėsmė užkrėstoje sistemoje gali išlikti net po perkrovimo arba aukų bandymo ją pašalinti.

Prieiga prie pažeistų serverių pasiekiama pridedant operatorių SSH viešąjį raktą. Raktas įterpiamas į konkretų failą, pavadintą „~/.ssh/authorized_keys“. Vėliau grėsmės veikėjai galės laisvai prisijungti prie serverio ir autentifikuoti naudodami tik atitinkamą privatų raktą, nereikės pateikti slaptažodžio. Ši technika išlaikys prieigą prie serverio, net jei SSH kredencialai bus atnaujinti arba SSH slaptažodžio autentifikavimas išjungtas. Be to, pakeisdami teisėtą failą, kibernetiniai nusikaltėliai ištrynė visus šiuo metu esamus autorizuotus raktus, neleisdami teisėtiems vartotojams sėkmingai pasiekti pažeistą SSH serverį per viešojo rakto autentifikavimą.

„RapperBot Malware“ operatorių tikslai išlieka migloti. Pavyzdžiui, grėsmės veikėjai visiškai pašalina grėsmės DDoS (Distributed Denial-of-Service) galimybes, kad tik iš naujo įdiegtų pastarąsias ribota forma.