RapperBot ļaunprātīga programmatūra

Infosec pētnieki ir identificējuši bīstamu IoT (Internet of Things) ļaunprātīgu programmatūru, kas izsekota kā RapperBot. Apdraudējuma analīze atklāja, ka to veidotāji ir intensīvi izmantojuši bēdīgi slavenā Mirai Botnet pirmkodu. Mirai draudi tika izmantoti vairākos augsta līmeņa uzbrukumos, pirms 2016. gada oktobrī tā pirmkods tika nopludināts sabiedrībai. Kopš tā laika kiberdrošības pētnieki ir identificējuši vairāk nekā 60 robottīklu un ļaunprātīgas programmatūras variantus, par pamatu izmantojot Mirai. Tomēr, runājot par RapperBot, draudi parāda vairākas būtiskas novirzes no tipiskās Mirai uzvedības.

Sīkāka informācija par RapperBot nesen tika publicēta drošības pētnieku ziņojumā. Pēc viņu atklājumiem, draudi ir bijuši aktīvi kopš 2022. gada jūnija un strauji attīstās. Robottīkla draudi izmanto brutāla spēka taktiku, lai iegūtu stabilitāti Linux SSH serveros, atšķirībā no tipiskākās Mirai ieviešanas, kas paredzētas Telnet serveriem.

Saskaņā ar ziņojumu RapperBot strauji paplašinās savus paverdzinātos SSH serverus ar vairāk nekā 3500 unikālām IP adresēm, kas skenē internetu un brutāli piespiež jaunus upurus. Šķiet, ka RapperBot ir atstājis aiz sevis Mira līdzīgās pašpavairošanas metodes par labu uz noturību balstītām metodēm. Rezultātā draudi var palikt inficētajā sistēmā pat pēc pārstartēšanas vai upuru mēģinājuma to noņemt.

Piekļuve uzlauztajiem serveriem tiek nodrošināta, pievienojot operatoru SSH publisko atslēgu. Atslēga tiek ievadīta noteiktā failā ar nosaukumu "~/.ssh/authorized_keys". Pēc tam apdraudējuma dalībnieki varēs brīvi izveidot savienojumu ar serveri un autentificēties, izmantojot tikai atbilstošo privāto atslēgu, bez nepieciešamības norādīt paroli. Šis paņēmiens saglabās piekļuvi serverim pat tad, ja tiek atjaunināti SSH akreditācijas dati vai ir atspējota SSH paroles autentifikācija. Turklāt, aizstājot likumīgo failu, kibernoziedznieki ir izdzēsuši visas pašlaik esošās autorizētās atslēgas, neļaujot likumīgajiem lietotājiem veiksmīgi piekļūt uzlauztajam SSH serverim, izmantojot publiskās atslēgas autentifikāciju.

RapperBot Malware operatoru mērķi joprojām ir neskaidri. Piemēram, apdraudējuma dalībnieki pilnībā noņem apdraudējuma DDoS (Distributed Denial-of-Service) iespējas, lai tikai ierobežotā veidā atkārtoti ieviestu pēdējo.