Roboto Botnet

Malware-onderzoekers hebben de activiteit ontdekt van een botnet genaamd Roboto Botnet. De activiteiten van dit botnet werden voor het eerst opgemerkt in de zomer van 2019. Het Roboto Botnet lijkt zich te richten op Linux-servers en verzamelt de gecompromitteerde doelen om een breed reikend botnet te creëren dat kan worden gebruikt voor verschillende bewerkingen. Experts hebben gemeld dat er in totaal 215.000 Linux-servers zijn die ongeveer de Webmin-applicatie gebruiken. Deze applicatie lijkt de infectievector te zijn die wordt gebruikt door de operators van het Roboto Botnet. Er moet echter worden opgemerkt dat de bijgewerkte versies van de Webmin-softwaresuite niet kwetsbaar zijn en dat de aanvallers alleen verouderde varianten van de toepassing kunnen misbruiken. Ondanks de activiteit van de Roboto Botnet die teruggaat tot de zomer van 2019, zijn de operators ervan pas recentelijk begonnen met massale uitbreiding. Daarom werd de interesse van malwareonderzoeker meteen getrokken.

Gebruikt de peer-to-peer techniek

De operators van de Roboto Botnet gebruiken hem mogelijk voornamelijk om DDoS-aanvallen (Distributed-Denial-of-Service) uit te voeren. Deze aanvallen worden uitgevoerd met behulp van een paar verschillende vectoren - HTTP, ICMP, UDP en TCP. Tot nu toe hebben de exploitanten van het Roboto Botnet het botnet niet gebruikt voor DDoS-aanvallen, waardoor malware-experts geloven dat hun inspanningen op dit moment geconcentreerd zijn op het uitbreiden van de omvang van het botnet. De operators van het Roboto Botnet hebben ervoor gezorgd dat de gecompromitteerde servers een peer-to-peer-techniek gebruiken in plaats van voortdurend contact te maken met de controleserver van de auteurs. De geïnfecteerde servers scannen het internet op zoek naar andere servers waarop eerder een verouderde versie van de genoemde Webmin-toepassing wordt uitgevoerd.

De Roboto Botnet bevat ook een backdoor-module. Dit betekent dat de operators bestanden kunnen pakken, details over de gecompromitteerde host kunnen verzamelen, extra malware kunnen installeren, shell- en Linux-opdrachten kunnen uitvoeren. Dit betekent dat de operators van het Roboto Botnet veel meer macht hebben dan alleen DDoS-aanvallen op hun doelen uitvoeren.

De Roboto Botnet-operators werken hard aan het uitbreiden van hun botnet en we kunnen niet zeker zijn wat hun plannen voor de toekomst zijn.