Atak na serwery Linux i urządzenia IoT
W sieci wykryto nowe złośliwe oprogramowanie typu botnet atakujące po protokole SSH serwery i urządzenia IoT z Linuxem. Wykrada poświadczenia użytkowników oraz posiada wbudowaną zdolność do łamania poświadczeń metodą brute force.
Z opublikowanego 3 sierpnia br. przez specjalistów z Fortinet Labs raportu wynika, iż od połowy czerwca 2022 r. natknęli się na gwałtownie ewoluującą rodzinę złośliwego systemu IoT, znaną jako „RapperBot”.
Ta rodzina w dużej mierze czerpie z oryginalnego kodu źródłowego botnetu Mirai. Tym co odróżnia ją od innych rodzin złośliwego systemu IoT, jest wbudowana zdolność do brute force danych uwierzytelniających i uzyskiwania dostępu do serwerów SSH zamiast Telnet, jak to zostało zaimplementowane w Mirai.
Ponadto ostatnie próbki pokazują, iż jego twórcy modyfikują jego kod w celu utrzymania trwałości. Odróżnia go to od przypadku innych wariantów Mirai. Zapewnia to cyberprzestępcom ciągły dostęp do zainfekowanych urządzeń przez SSH choćby po ponownym uruchomieniu urządzenia lub usunięciu złośliwego oprogramowania.
Skąd nazwa RapperBot?
Nazwa „RapperBot” pochodzi z raportu CNCERT z początku lipca, w którym w starszych próbkach znaleziono osadzony adres URL do rapowego teledysku YouTube. Próbki RapperBota opublikowane po tym raporcie nie zawierają tego adresu URL.
Co dzieje się na zhakowanych maszynach?
Podczas gdy początkowo słownik haseł był na stałe zakodowany w pliku binarnym szkodliwego systemu w tej chwili lista ta jest pobierana z serwera Command & Control. Jeśli atak się powiedzie, szkodliwe oprogramowanie zwraca na serwer C2 dane uwierzytelniające, które zadziałały.
Gdy atak powiedzie się, RapperBot zmienia klucze SSH serwera Linux aby zachować dostęp, choćby jeżeli hasło SSH ulegnie zmianie . Nawet jeżeli szkodliwe oprogramowanie zostanie usunięte, cyberprzestępcy przez cały czas mogą uzyskać dostęp do serwera Linux poprzez modyfikację pliku „~/.ssh/authorized_keys” hosta.
W efekcie złośliwe oprogramowanie dodaje użytkownika „suhelper” -użytkownika root na zaatakowanych komputerach i tworzy zadanie cron, które odtwarza użytkownika co godzinę, na wypadek gdyby administrator wykrył konto i je usunął.
Jak się chronić?
Botnet atakuje serwery Linux, do których logowanie po SSH odbywa się dzięki hasła.
Zatem naszą ochroną będzie wdrożenie best practices związanych z zabezpieczaniem serwera SSH na naszych serwerach.
Jeśli nie jesteś pewien jak to zrobić to sprawdź nasze mini szkolenie: Bezpieczny serwer SSH w godzinę gdzie pokazuje oraz tłumaczę jak to zrobić.
Szczegóły na temat IOC znajdziesz na dole tego artykułu.
Podsumowanie
Chociaż to zagrożenie w dużej mierze zapożycza kod od Mirai, ma cechy, które odróżniają go od swojego poprzednika i jego wariantów. Jego zdolność do utrzymywania się w systemie ofiary daje cyberprzestępcom elastyczność w wykorzystywaniu ich do dowolnych złośliwych celów, jakich sobie życzą.
Ze względu na kilka znaczących i ciekawych zmian, jakie przeszedł RapperBot, główna motywacja jego twórców wciąż pozostaje tajemnicą.
Koniecznie zapoznaj się z całym raportem od badaczy z Fortinet Labs.
