RapperBot மால்வேர்

Infosec ஆராய்ச்சியாளர்கள் RapperBot என கண்காணிக்கப்படும் ஆபத்தான IoT (Internet of Things) தீம்பொருளை அடையாளம் கண்டுள்ளனர். அச்சுறுத்தலைப் பற்றிய பகுப்பாய்வு, அதன் படைப்பாளிகள் பிரபலமற்ற Mirai Botnet இன் மூலக் குறியீட்டை பெரிதும் பயன்படுத்தியிருப்பது தெரியவந்துள்ளது. அக்டோபர் 2016 இல் அதன் மூலக் குறியீடு பொதுமக்களுக்குக் கசியவிடப்படுவதற்கு முன்னர் Mirai அச்சுறுத்தல் பல உயர்மட்டத் தாக்குதல்களில் பயன்படுத்தப்பட்டது. அதன் பின்னர் சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் Mirai ஐ அடிப்படையாகப் பயன்படுத்தி 60 போட்நெட் மற்றும் தீம்பொருள் வகைகளை அடையாளம் கண்டுள்ளனர். இருப்பினும், RapperBot க்கு வரும்போது, அச்சுறுத்தல் வழக்கமான Mirai நடத்தையில் இருந்து பல முக்கிய புறப்பாடுகளைக் காட்டுகிறது.

RapperBot பற்றிய விவரங்கள் சமீபத்தில் பாதுகாப்பு ஆராய்ச்சியாளர்களால் ஒரு அறிக்கையில் வெளியிடப்பட்டது. அவர்களின் கண்டுபிடிப்புகளின்படி, அச்சுறுத்தல் ஜூன் 2022 முதல் செயலில் உள்ளது மற்றும் விரைவான வளர்ச்சிக்கு உட்பட்டுள்ளது. டெல்நெட் சேவையகங்களை குறிவைக்கும் வழக்கமான Mirai செயல்படுத்தல் போலல்லாமல், botnet அச்சுறுத்தல் Linux SSH சேவையகங்களில் காலூன்றுவதற்கு ப்ரூட்-ஃபோர்ஸ் யுக்திகளைப் பயன்படுத்துகிறது.

அறிக்கையின்படி, RapperBot அதன் அடிமைப்படுத்தப்பட்ட SSH சேவையகங்களை 3,500 க்கும் மேற்பட்ட தனித்துவமான IP முகவரிகளுடன் இணையத்தை ஸ்கேன் செய்து புதிய பாதிக்கப்பட்டவர்களை நோக்கி மிருகத்தனமாக வலுக்கட்டாயமாக வேகமாக வளர்ந்து வருகிறது. RapperBot மேலும் விடாமுயற்சி-அடிப்படையிலான முறைகளுக்கு ஆதரவாக அதன் மீரா போன்ற சுய-பரப்பு நுட்பங்களை விட்டுச் சென்றதாகத் தெரிகிறது. இதன் விளைவாக, பாதிக்கப்பட்டவர்கள் மறுதொடக்கம் செய்த பிறகும் அல்லது அகற்ற முயற்சித்த பின்னரும் கூட, பாதிக்கப்பட்ட கணினியில் அச்சுறுத்தல் இருக்கும்.

ஆபரேட்டர்களின் SSH பொது விசையைச் சேர்ப்பதன் மூலம் மீறப்பட்ட சேவையகங்களுக்கான அணுகல் அடையப்படுகிறது. விசை '~/.ssh/authorized_keys' எனப்படும் ஒரு குறிப்பிட்ட கோப்பில் செலுத்தப்படுகிறது. பின்னர், அச்சுறுத்தல் செய்பவர்கள் சேவையகத்துடன் சுதந்திரமாக இணைக்க முடியும் மற்றும் கடவுச்சொல்லை வழங்க வேண்டிய அவசியமின்றி தொடர்புடைய தனிப்பட்ட விசையை மட்டுமே பயன்படுத்தி அங்கீகரிக்க முடியும். SSH நற்சான்றிதழ்கள் புதுப்பிக்கப்பட்டாலும் அல்லது SSH கடவுச்சொல் அங்கீகாரம் முடக்கப்பட்டாலும் இந்த நுட்பம் சேவையகத்திற்கான அணுகலைப் பராமரிக்கும். கூடுதலாக, முறையான கோப்பை மாற்றுவதன் மூலம், சைபர் கிரைமினல்கள் தற்போது இருக்கும் அனைத்து அங்கீகரிக்கப்பட்ட விசைகளையும் நீக்கியுள்ளனர், பொது விசை அங்கீகாரம் மூலம் சமரசம் செய்யப்பட்ட SSH சேவையகத்தை சட்டப்பூர்வ பயனர்கள் வெற்றிகரமாக அணுகுவதைத் தடுக்கிறார்கள்.

RapperBot மால்வேரின் ஆபரேட்டர்களின் இலக்குகள் மோசமானதாகவே இருக்கின்றன. எடுத்துக்காட்டாக, அச்சுறுத்தல் நடிகர்கள் அச்சுறுத்தலின் DDoS (விநியோக மறுப்பு-சேவை) திறன்களை முழுவதுமாக அகற்றி, பிந்தையதை ஒரு வரையறுக்கப்பட்ட வடிவத்தில் மீண்டும் அறிமுகப்படுத்துவார்கள்.