Támadásra kész a Kaiji botnet

Egy olyan újabb kártékony programra derült fény, amely Linux alapú szervereket és IoT-eszközöket képes térdre kényszeríteni.
 

Az interneteléréssel rendelkező különféle készülékek térhódítása folyamatosan zajlik, amit a kiberbűnözők is figyelemmel kísérnek. Pontosan tudják, hogy ezek az eszközök az esetek többségében nem rendelkeznek komoly teljesítménnyel, viszont rengeteg működik belőlük a világon, ezért összességében mégis komoly támadási felületet jelentenek. Mindezt már egyebek mellett a Mirai botnet is igazolta, amikor 2016-ban jelentős szolgáltatásmegtagadási támadásokban kapott szerepet.
 
Az Intezer biztonsági kutatói az elmúlt napokban egy olyan kártékony programot fedeztek fel, amely hasonló kockázatokat vet fel, mint annak idején a Mirai botnet kialakításában résztvevő kód. Noha 2016 óta számos egyéb IoT-károkozó is felbukkant már, azok jórészt meglévő, a támadók számára már bevált megoldásokra (egyebek mellett éppen a Mirai kódjára) épültek. A most kimutatott, Kaiji névvel illetett kártevő azonban teljesen egyedi.
 
Az eddigi vizsgálatok alapján az valószínűsíthető, hogy a Kaiji kínai gyökerekkel rendelkezik. A Go (Golang) nyelven készülő szerzemény célja, hogy Linux alapú rendszereket (beleértve a kiszolgálókat is), illetve IoT-eszközöket támadjon, és fertőzzön meg, majd az így felépülő botnetet további, akár kiterjedt támadásokba vonja be.
 
Nincs új a nap alatt
 
A Kaiji alapvetően SSH-alapú támadásokkal próbál hozzáférést szerezni a számítógépekhez, készülékekhez. Ehhez nem alkalmaz különösebben kifinomult módszereket, hiszen brute force technikákkal, próbálgatással igyekszik bejelentkezni root jogosultsággal rendelkező fiókokba. Amennyiben ez sikerül számára, akkor az érintett rendszereken létrehoz egy /tmp/seeintlog nevű fájlt. Emellett egy rootkit komponenst is telepít /etc/32679 néven, amit 30 másodpercenként elindít.
 
A kártékony program jelenlegi variánsa az alábbi feladatok elvégzésére alkalmas a fertőzött rendszereken:

• vezérlőszerverekhez való kapcsolódás
• vezérlőszerverekről történő utasításfogadás
• parancssorból történő műveletvégrehajtás
• SSH brute force támadások indítása
• elosztott szolgáltatásmegtagadási támadásokba történő bekapcsolódás (TCPFlood, UDPFlood, IPSpoof, SYNACK stb.).

 
A biztonsági kutatók szerint a Kaiji jelenleg még fejlesztési fázisban lehet, mert a vezérlőszervereit csak néha-néha kapcsolják be a készítői. Ettől függetlenül nem elképzelhetetlen, hogy a közeljövőben éles támadásokban is szerephez jut. Ezért a potenciálisan veszélyeztetett eszközök esetében különösen fontos a megfelelő erősségű jelszavak és a szigorú hozzáférés-kezelési szabályok alkalmazása.