Malware RapperBot

Cercetătorii Infosec au identificat un malware IoT (Internet of Things) periculos, urmărit ca RapperBot. Analiza amenințării a dezvăluit că creatorii săi au folosit foarte mult codul sursă al infamului Mirai Botnet . Amenințarea Mirai a fost folosită în mai multe atacuri de profil înainte ca codul său sursă să fie divulgat public în octombrie 2016. De atunci, cercetătorii în securitate cibernetică au identificat peste 60 de variante de rețele botnet și malware folosind Mirai ca bază. Cu toate acestea, când vine vorba de RapperBot, amenințarea prezintă câteva abateri majore față de comportamentul tipic Mirai.

Detalii despre RapperBot au fost publicate recent într-un raport al cercetătorilor de securitate. Potrivit constatărilor lor, amenințarea este activă din iunie 2022 și este în curs de dezvoltare rapidă. Amenințarea botnet folosește tactici de forță brută pentru a obține un loc pe serverele SSH Linux, spre deosebire de implementarea mai tipică Mirai de țintire a serverelor Telnet.

Potrivit raportului, RapperBot își crește rapid serverele SSH înrobite cu peste 3.500 de adrese IP unice care scanează Internetul și își forțează drumul spre noi victime. De asemenea, RapperBot pare să fi lăsat în urmă tehnicile sale de autopropagare asemănătoare Mira în favoarea unor metode bazate mai mult pe persistență. Ca urmare, amenințarea poate rămâne pe sistemul infectat chiar și după o repornire sau o încercare de eliminare de către victime.

Accesul la serverele încălcate se realizează prin adăugarea cheii publice SSH a operatorilor. Cheia este injectată într-un fișier specific numit „~/.ssh/authorized_keys”. Ulterior, actorii amenințărilor se vor putea conecta liber la server și se vor autentifica folosind doar cheia privată corespunzătoare, fără a fi nevoie să furnizeze o parolă. Această tehnică va menține accesul la server chiar dacă acreditările SSH sunt actualizate sau autentificarea parolei SSH este dezactivată. În plus, prin înlocuirea fișierului legitim, infractorii cibernetici au șters toate cheile autorizate existente în prezent, împiedicând utilizatorii legitimi să acceseze cu succes serverul SSH compromis prin autentificarea cu cheie publică.

Obiectivele operatorilor RapperBot Malware rămân nebuloase. De exemplu, actorii amenințărilor elimină complet capabilitățile DDoS (Distributed Denial-of-Service) ale amenințării, doar pentru a o reintroduce pe cea din urmă, într-o formă limitată.