RapperBot Malware
Studiuesit e Infosec kanë identifikuar një malware të rrezikshëm IoT (Internet of Things), i gjurmuar si RapperBot. Analiza e kërcënimit ka zbuluar se krijuesit e tij kanë përdorur shumë kodin burimor të famëkeqit Mirai Botnet . Kërcënimi Mirai u përdor në disa sulme të profilit të lartë përpara se kodi i tij burim të zbulohej në publik në tetor 2016. Që atëherë, studiuesit e sigurisë kibernetike kanë identifikuar mbi 60 variante botnet dhe malware duke përdorur Mirai si bazë. Sidoqoftë, kur bëhet fjalë për RapperBot, kërcënimi shfaq disa largime të mëdha nga sjellja tipike Mirai.
Detajet rreth RapperBot u publikuan në një raport nga studiuesit e sigurisë së fundmi. Sipas gjetjeve të tyre, kërcënimi ka qenë aktiv që nga qershori 2022 dhe po kalon një zhvillim të shpejtë. Kërcënimi i botnet-it përdor taktika të forcës brutale për të fituar një terren në serverët Linux SSH, ndryshe nga zbatimi më tipik Mirai i synimit të serverëve Telnet.
Sipas raportit, RapperBot po rrit me shpejtësi serverët e tij të skllavëruar SSH me mbi 3,500 adresa IP unike që skanojnë internetin dhe duke u futur në mënyrë brutale drejt viktimave të reja. RapperBot gjithashtu duket se ka lënë pas teknikat e tij të vetëpërhapjes si Mira në favor të metodave më të bazuara në këmbëngulje. Si rezultat, kërcënimi mund të mbetet në sistemin e infektuar edhe pas një rindezjeje ose një tentative për heqje nga viktimat.
Qasja në serverët e dëmtuar arrihet nëpërmjet shtimit të çelësit publik SSH të operatorëve. Çelësi është injektuar në një skedar specifik të quajtur '~/.ssh/authorized_keys.' Më pas, aktorët e kërcënimit do të jenë në gjendje të lidhen lirshëm me serverin dhe të vërtetohen duke përdorur vetëm çelësin privat përkatës pa pasur nevojë të japin një fjalëkalim. Kjo teknikë do të ruajë aksesin në server edhe nëse kredencialet SSH përditësohen ose autentifikimi i fjalëkalimit SSH është i çaktivizuar. Përveç kësaj, duke zëvendësuar skedarin legjitim, kriminelët kibernetikë kanë fshirë të gjithë çelësat ekzistues të autorizuar aktualisht, duke penguar përdoruesit e ligjshëm të aksesojnë me sukses serverin e komprometuar SSH nëpërmjet vërtetimit të çelësit publik.
Qëllimet e operatorëve të RapperBot Malware mbeten të paqarta. Për shembull, aktorët e kërcënimit heqin plotësisht aftësitë DDoS (Distributed Denial-of-Service) të kërcënimit, vetëm për të rifutur këtë të fundit, në një formë të kufizuar.
