Η εταιρεία ασφαλείας ESET ανακάλυψε μια νέα μορφή κακόβουλου λογισμικού που στοχεύει συσκευές Linux. Το κακόβουλο λογισμικό μπορεί να δώσει πλήρη έλεγχο της πληγείσας συσκευής στους hackers, αφήνοντας μια πόρτα ανοιχτή για πάρα πολλές άλλες κακόβουλες ενέργειες, όπως τις επιθέσεις DDoS.
Το νέο malware ονομάστηκε Rakos, και χρησιμοποιείται για επιθέσεις σε φορητές συσκευές και servers που έχουν ανοιχτή τη θύρα της SSH. Αν βρει κάποια θύρα ανοιχτή στο πρωτόκολλο SSH χρησιμοποιεί επιθέσεις brute force για να σπάσει τον κωδικό πρόσβασης.
Η ESET υποστηρίζει ότι οι δημιουργοί του Rakos θέλουν να μολύνουν όσο το δυνατόν περισσότερα συστήματα για να δημιουργήσουν δημιουργηθεί ένα botnet που θα μπορούσαν να χρησιμοποιήσουν για άλλες κακόβουλες επιθέσεις, όπως επιθέσεις DDoS ή την εξάπλωση spam.
Αρχικά οι επιτιθέμενοι σαρώνουν για ευπάθειες τα συστήματα αναλύοντας προκαθορισμένες IP. Θα πρέπει να αναφέρουμε ότι κινδυνεύουν περισσότερο τα μηχανήματα που χρησιμοποιούν πολύ αδύναμους κωδικούς πρόσβασης καθώς οι επιθέσεις brute force χρειάζονται πολύ περισσότερο χρόνο σε μεγάλους κωδικούς.
Μόλις αποκτήσει πρόσβαση στην Linux συσκευή του θύματος το Rakos ξεκινά μια τοπική υπηρεσία HTTP που είναι διαθέσιμη στη διεύθυνση http://127.0.0.1:61314 για δύο διαφορετικούς σκοπούς.
“Ο πρώτος είναι ένας πονηρός τρόπος για τις μελλοντικές εκδόσεις του bot για να σταματήσουν διάφορες διεργασίες ανεξάρτητα από την ονομασία τους, ζητώντας πολύ απλά την διεύθυνση http://127.0.0.1:61314/et και ο δεύτερος προσπαθεί να αναλύσει ένα ερώτημα URL με παραμέτρους “ip”, “u”, “p”, ζητώντας την διεύθυνση http://127.0.0.1:61314/ex. Ο σκοπός αυτού του /ex HTTP δεν είναι ακόμα σαφής” σύμφωνα με την ESET.
Το κακόβουλο λογισμικό σαρώνει αυτόματα το μολυσμένο σύστημα και να συλλέγει πληροφορίες που στη συνέχεια αποστέλλει σε ένα διακομιστή C&C. Στις πληροφορίες συμπεριλαμβάνονται η διεύθυνση IP, ονόματα χρηστών και κωδικοί πρόσβασης.
Ένα conf αρχείο που αποθηκεύεται τοπικά καθιστά δυνατή την πρόσβαση σε ένα backdoor για να μπορεί να έχει πρόσβαση ο εισβολέας και κάποια άλλη στιγμή στο μέλλον.
Είναι σημαντικό να τονίσουμε ότι οι σύνθετοι κωδικοί πρόσβασης της SSH είναι σχεδόν αδύνατο να σπάσουν από αυτό το malware και οι επιτιθέμενοι ψάχνουν κυρίως για συσκευές που χρησιμοποιούν αδύναμους κωδικούς πρόσβασης.
Αν για κάποιο λόγο η Linux συσκευή σας έχει μολυνθεί, θα πρέπει να συνδεθείτε χρησιμοποιώντας SSH/Telnet και να αναζητήσετε μια διαδικασία που ονομάζεται .javaxxx. Βεβαιωθείτε ότι είναι αυτή που χρησιμοποιείται για ανεπιθύμητες συνδέσεις και σταματήστε (kill) τη διαδικασία.
Διαβάστε περισσότερα στη δημοσίευση της ESET.
