Malvér RapperBot

Výskumníci z Infosec identifikovali nebezpečný IoT (Internet of Things) malvér sledovaný ako RapperBot. Analýza hrozby odhalila, že jej tvorcovia vo veľkom využívali zdrojový kód neslávne známeho botnetu Mirai . Hrozba Mirai bola použitá v niekoľkých významných útokoch predtým, ako jej zdrojový kód unikol na verejnosť v októbri 2016. Odvtedy výskumníci v oblasti kybernetickej bezpečnosti identifikovali viac ako 60 variantov botnetov a malvéru, ktoré využívajú Mirai ako základ. Pokiaľ však ide o RapperBot, hrozba zobrazuje niekoľko zásadných odchýlok od typického správania Mirai.

Podrobnosti o RapperBot boli nedávno zverejnené v správe bezpečnostných výskumníkov. Podľa ich zistení je hrozba aktívna od júna 2022 a prechádza prudkým vývojom. Hrozba botnetu využíva taktiku hrubej sily na získanie oporu na serveroch Linux SSH, na rozdiel od bežnejšej implementácie Mirai zameranej na servery Telnet.

Podľa správy RapperBot rýchlo rastie na svojich zotročených SSH serveroch s viac ako 3 500 jedinečnými IP adresami, ktoré skenujú internet a brutálnym spôsobom si nútia cestu k novým obetiam. Zdá sa tiež, že RapperBot zanechal svoje techniky samošírenia podobné Mira v prospech metód založených na perzistencii. V dôsledku toho môže hrozba zostať na infikovanom systéme aj po reštarte alebo pokuse o odstránenie zo strany obetí.

Prístup k narušeným serverom sa dosiahne pridaním verejného kľúča SSH operátora. Kľúč sa vloží do špecifického súboru s názvom '~/.ssh/authorized_keys.' Potom sa aktéri hrozby budú môcť voľne pripojiť k serveru a autentifikovať sa iba pomocou zodpovedajúceho súkromného kľúča bez potreby zadávania hesla. Táto technika zachová prístup k serveru, aj keď sa aktualizujú poverenia SSH alebo je deaktivované overenie hesla SSH. Okrem toho nahradením legitímneho súboru kyberzločinci vymazali všetky aktuálne existujúce autorizované kľúče, čím zabránili legitímnym používateľom v úspešnom prístupe k napadnutému serveru SSH prostredníctvom overenia verejným kľúčom.

Ciele prevádzkovateľov RapperBot Malware zostávajú nejasné. Napríklad aktéri hrozby úplne odstraňujú schopnosti DDoS (Distributed Denial-of-Service) hrozby, len aby ju znovu zaviedli v obmedzenej forme.