Istraživači cyber sigurnosti otkrili su novu varijantu Gafgyt botneta koja cilja strojeve sa slabim SSH lozinkama kako bi u konačnici rudarila kriptovalutu na kompromitovanim instancama koristeći njihovu računarsku moć GPU-a.
To ukazuje da “IoT botnet cilja na robusnije servere koji rade na izvornim okruženjima u cloud-u”, rekao je istraživač Aqua Security Assaf Morag u analizi od srijede.
Gafgyt (aka BASHLITE, Lizkebab i Torlus), poznat po tome što je aktivan u divljini od 2014. godine, ima istoriju iskorištavanja slabih ili zadanih akreditiva kako bi dobio kontrolu nad uređajima kao što su ruteri, kamere i digitalni video rekorderi (DVR). Takođe je sposoban da iskoristi poznate bezbednosne propuste u Dasan, Huawei, Realtek, SonicWall i Zyxel uređajima.
Zaraženi uređaji su spojeni u botnet koji može pokrenuti distribuirane napade uskraćivanja usluge (DDoS) na mete od interesa. Postoje dokazi koji upućuju na to da Gafgyt i Necro upravlja grupa prijetnji pod nazivom Keksec , koja se također prati kao Kek Security i FreakOut.
IoT botnetovi kao što je Gafgyt stalno se razvijaju kako bi dodali nove funkcije, s varijantama otkrivenim 2021. koristeći TOR mrežu za prikrivanje zlonamjerne aktivnosti, kao i posuđivanje nekih modula iz Mirai izvornog koda koji je procurio. Vrijedi napomenuti da je Gafgytov izvorni kod procurio na internet početkom 2015. godine, što je dodatno podstaklo pojavu novih verzija i adaptacija.
Najnoviji lanci napada uključuju brutalno forsiranje SSH servera sa slabim lozinkama za implementaciju korisnih opterećenja sljedeće faze kako bi se olakšao napad rudarenja kriptovaluta koristeći “systemd-net”, ali ne prije nego što prekinu konkurentski zlonamjerni softver koji je već pokrenut na kompromitovanom hostu.
Takođe izvršava modul za uklanjanje crva, SSH skener baziran na Go-u pod nazivom ld-musl-x86, koji je odgovoran za skeniranje interneta u potrazi za loše osiguranim serverima i propagiranje zlonamjernog softvera na druge sisteme, efikasno proširujući skalu botneta. Ovo uključuje SSH, Telnet i akredative vezane za servere igara i okruženja u oblaku kao što su AWS, Azure i Hadoop.
“Kriptomajner koji se koristi je XMRig, rudar kriptovaluta Monero”, rekao je Morag. “Međutim, u ovom slučaju, haker želi pokrenuti kriptomajner koristeći –opencl i –cuda zastavice, koje koriste GPU i Nvidia GPU računarsku snagu.”
“Ovo, u kombinaciji s činjenicom da je primarni utjecaj hakera kripto-rudarstvo, a ne DDoS napadi, podržava našu tvrdnju da se ova varijanta razlikuje od prethodnih. Cilj joj je ciljati okruženja koja su izvorna u cloud-u sa jakim CPU i GPU mogućnostima.”
Podaci prikupljeni ispitivanjem Shodana pokazuju da postoji preko 30 miliona javno dostupnih SSH servera, zbog čega je neophodno da korisnici poduzmu korake kako bi osigurali instance od napada grubom silom i potencijalne eksploatacije.
Izvor:The Hacker News