RapperBot zlonamerna programska oprema

Raziskovalci Infosec so identificirali nevarno zlonamerno programsko opremo IoT (Internet of Things), ki jo spremljajo kot RapperBot. Analiza grožnje je pokazala, da so njeni ustvarjalci močno uporabili izvorno kodo zloglasnega botneta Mirai . Grožnja Mirai je bila uporabljena v več odmevnih napadih, preden je njena izvorna koda pricurljala v javnost oktobra 2016. Od takrat so raziskovalci kibernetske varnosti identificirali več kot 60 različic botnetov in zlonamerne programske opreme, ki uporabljajo Mirai kot osnovo. Ko pa gre za RapperBot, grožnja kaže več večjih odstopanj od tipičnega vedenja Mirai.

Podrobnosti o RapperBotu so nedavno objavili v poročilu varnostnih raziskovalcev. Po njihovih ugotovitvah je grožnja aktivna od junija 2022 in se hitro razvija. Grožnja botneta uporablja taktiko surove sile, da pridobi oporo na strežnikih Linux SSH, za razliko od bolj tipične izvedbe Mirai, ki cilja na strežnike Telnet.

Glede na poročilo RapperBot hitro širi svoje zasužnjene strežnike SSH z več kot 3.500 edinstvenimi naslovi IP, ki skenirajo internet in si na silo prizadevajo do novih žrtev. Zdi se tudi, da je RapperBot za seboj pustil svoje tehnike samorazmnoževanja, podobne Miri, v prid metodam, ki temeljijo na bolj obstojnosti. Posledično lahko grožnja ostane v okuženem sistemu tudi po ponovnem zagonu ali poskusu odstranitve s strani žrtve.

Dostop do poškodovanih strežnikov je dosežen z dodajanjem operaterjevega javnega ključa SSH. Ključ je vstavljen v določeno datoteko z imenom '~/.ssh/authorized_keys.' Nato se bodo akterji groženj lahko prosto povezali s strežnikom in avtentikirali samo z ustreznim zasebnim ključem, ne da bi morali vnesti geslo. Ta tehnika bo ohranila dostop do strežnika, tudi če so poverilnice SSH posodobljene ali je preverjanje pristnosti gesla SSH onemogočeno. Poleg tega so kiberkriminalci z zamenjavo legitimne datoteke izbrisali vse trenutno obstoječe pooblaščene ključe, s čimer so legitimnim uporabnikom preprečili uspešen dostop do ogroženega strežnika SSH prek avtentikacije javnih ključev.

Cilji operaterjev RapperBot Malware ostajajo nejasni. Na primer, akterji groženj v celoti odstranijo zmožnosti DDoS (Distributed Denial-of-Service) grožnje, samo da bi slednjo ponovno uvedli v omejeni obliki.