RapperBot मालवेयर
इन्फोसेक अनुसन्धानकर्ताहरूले RapperBot को रूपमा ट्र्याक गरिएको खतरनाक IoT (Internet of Things) मालवेयर पहिचान गरेका छन्। धम्कीको विश्लेषणले यसको सिर्जनाकर्ताहरूले कुख्यात Mirai बोटनेटको स्रोत कोड धेरै प्रयोग गरेको खुलासा गरेको छ। Mirai खतरा अक्टोबर 2016 मा सार्वजनिक रूपमा यसको स्रोत कोड लीक हुनु अघि धेरै उच्च-प्रोफाइल आक्रमणहरूमा प्रयोग गरिएको थियो। त्यसपछि साइबर सुरक्षा अनुसन्धानकर्ताहरूले Mirai लाई आधारको रूपमा प्रयोग गरेर 60 भन्दा बढी बोटनेट र मालवेयर भेरियन्टहरू पहिचान गरेका छन्। यद्यपि, जब यो RapperBot को कुरा आउँछ, खतराले सामान्य मिराई व्यवहारबाट धेरै प्रमुख प्रस्थानहरू देखाउँछ।
RapperBot को बारेमा विवरणहरू भर्खरै सुरक्षा अनुसन्धानकर्ताहरूले एक रिपोर्टमा जारी गरेका थिए। उनीहरुको निष्कर्ष अनुसार यो खतरा सन् २०२२ को जुन देखि सक्रिय छ र तीव्र गतिमा विकास भइरहेको छ। बोटनेट खतराले टेलनेट सर्भरहरूलाई लक्षित गर्ने थप सामान्य मिराइ कार्यान्वयनको विपरीत, लिनक्स SSH सर्भरहरूमा खुट्टा राख्नको लागि ब्रूट-फोर्स रणनीतिहरू प्रयोग गर्दछ।
रिपोर्टका अनुसार, RapperBot ले 3,500 भन्दा बढी अनौठो आईपी ठेगानाहरू इन्टरनेट स्क्यान गर्दै र नयाँ पीडितहरूमा उनीहरूको मार्गलाई क्रूर-जबरदस्ती गरी दास बनाएको SSH सर्भरहरू द्रुत रूपमा बढाउँदैछ। RapperBot ले पनि आफ्नो Mira-जस्तै आत्म-प्रसार प्रविधिहरूलाई थप दृढता-आधारित विधिहरूको पक्षमा छोडेको देखिन्छ। नतिजाको रूपमा, खतरा रिबुट वा पीडितहरूले हटाउने प्रयास गरेपछि पनि संक्रमित प्रणालीमा रहन सक्छ।
उल्लङ्घन गरिएका सर्भरहरूमा पहुँच अपरेटरहरूको SSH सार्वजनिक कुञ्जी थपेर प्राप्त हुन्छ। कुञ्जीलाई '~/.ssh/authorized_keys' भनिने विशेष फाइलमा इन्जेक्ट गरिएको छ। पछि, खतरा अभिनेताहरूले सर्भरमा स्वतन्त्र रूपमा जडान गर्न सक्षम हुनेछन् र पासवर्ड प्रदान नगरी मात्र सम्बन्धित निजी कुञ्जी प्रयोग गरेर प्रमाणीकरण गर्न सक्नेछन्। यस प्रविधिले सर्भरमा पहुँच कायम राख्नेछ यदि SSH प्रमाणहरू अद्यावधिक गरिएको छ वा SSH पासवर्ड प्रमाणीकरण असक्षम गरिएको छ। थप रूपमा, वैध फाइल प्रतिस्थापन गरेर, साइबर अपराधीहरूले सबै हाल अवस्थित आधिकारिक कुञ्जीहरू मेटेका छन्, वैध प्रयोगकर्ताहरूलाई सार्वजनिक कुञ्जी प्रमाणीकरण मार्फत सम्झौता गरिएको SSH सर्भरमा सफलतापूर्वक पहुँच गर्नबाट रोक्दै।
RapperBot मालवेयर अपरेटरहरूको लक्ष्य अस्पष्ट रहन्छ। उदाहरणका लागि, धम्की दिने व्यक्तिहरूले खतराको DDoS (डिस्ट्रिब्युटेड डिनायल-अफ-सर्भिस) क्षमताहरू पूर्ण रूपमा हटाउँछन्, केवल पछिल्लोलाई सीमित रूपमा पुन: परिचय गराउन।
