Támadásra kész a Kaiji botnet

Egy olyan újabb kártékony programra derült fény, amely Linux alapú szervereket és IoT-eszközöket képes térdre kényszeríteni.
 

Az interneteléréssel rendelkező különféle készülékek térhódítása folyamatosan zajlik, amit a kiberbűnözők is figyelemmel kísérnek. Pontosan tudják, hogy ezek az eszközök az esetek többségében nem rendelkeznek komoly teljesítménnyel, viszont rengeteg működik belőlük a világon, ezért összességében mégis komoly támadási felületet jelentenek. Mindezt már egyebek mellett a Mirai botnet is igazolta, amikor 2016-ban jelentős szolgáltatásmegtagadási támadásokban kapott szerepet.
 
Az Intezer biztonsági kutatói az elmúlt napokban egy olyan kártékony programot fedeztek fel, amely hasonló kockázatokat vet fel, mint annak idején a Mirai botnet kialakításában résztvevő kód. Noha 2016 óta számos egyéb IoT-károkozó is felbukkant már, azok jórészt meglévő, a támadók számára már bevált megoldásokra (egyebek mellett éppen a Mirai kódjára) épültek. A most kimutatott, Kaiji névvel illetett kártevő azonban teljesen egyedi.
 
Az eddigi vizsgálatok alapján az valószínűsíthető, hogy a Kaiji kínai gyökerekkel rendelkezik. A Go (Golang) nyelven készülő szerzemény célja, hogy Linux alapú rendszereket (beleértve a kiszolgálókat is), illetve IoT-eszközöket támadjon, és fertőzzön meg, majd az így felépülő botnetet további, akár kiterjedt támadásokba vonja be.
 
Nincs új a nap alatt
 
A Kaiji alapvetően SSH-alapú támadásokkal próbál hozzáférést szerezni a számítógépekhez, készülékekhez. Ehhez nem alkalmaz különösebben kifinomult módszereket, hiszen brute force technikákkal, próbálgatással igyekszik bejelentkezni root jogosultsággal rendelkező fiókokba. Amennyiben ez sikerül számára, akkor az érintett rendszereken létrehoz egy /tmp/seeintlog nevű fájlt. Emellett egy rootkit komponenst is telepít /etc/32679 néven, amit 30 másodpercenként elindít.
 
A kártékony program jelenlegi variánsa az alábbi feladatok elvégzésére alkalmas a fertőzött rendszereken:
  • vezérlőszerverekhez való kapcsolódás
  • vezérlőszerverekről történő utasításfogadás
  • parancssorból történő műveletvégrehajtás
  • SSH brute force támadások indítása
  • elosztott szolgáltatásmegtagadási támadásokba történő bekapcsolódás (TCPFlood, UDPFlood, IPSpoof, SYNACK stb.).
 
A biztonsági kutatók szerint a Kaiji jelenleg még fejlesztési fázisban lehet, mert a vezérlőszervereit csak néha-néha kapcsolják be a készítői. Ettől függetlenül nem elképzelhetetlen, hogy a közeljövőben éles támadásokban is szerephez jut. Ezért a potenciálisan veszélyeztetett eszközök esetében különösen fontos a megfelelő erősségű jelszavak és a szigorú hozzáférés-kezelési szabályok alkalmazása.
Vélemények
 
  1. 3

    Az SQLite kapcsán két sebezhetőségre derült fény.

  2. 4

    Az Autodesk Maya egy súlyos sérülékenységet tartalmaz.

  3. 3

    A Maze.A zsarolóprogram fájlok titkosítása mellett adatokat is kiszivárogtat a fertőzött számítógépekről.

 
Partnerhírek
Módosított pályázati kiírás - az „Év információvédelmi szak- és diplomadolgozata - 2020” cím elnyerésére

A Hétpecsét Információbiztonsági Egyesület 2020 évre is meghirdeti az „Év információvédelmi szak- és diplomadolgozata - 2020” címet.

667%-kal nőtt a koronavírushoz kapcsolódó támadások száma – az ESET meghosszabbítja ingyenes akcióját

A koronavírus terjedése miatt egyre nagyobb mértékben támaszkodunk digitális megoldásokra a mindennapi életünk során.

hirdetés
Közösség
1