Ботнет Rakos атакует IoT-устройства


ESET NOD32Исследователи компании ESET зафиксировали рост ботнета из устройств "Интернета вещей" (IoT) и Linux-серверов, инфицированных новым вредоносным ПО Rakos.

Впервые угроза была обнаружена летом 2016 года и в теперешнем своем виде является малоопасной. В настоящее же время Rakos используется злоумышленниками для осуществления брутфорс-атак на IoT-устройства с целью заражения их вредоносом и включения в ботнет. Цель зараженного гаджета - передача инфекции дальше, тем самым способствуя росту ботнета. Никаких свидетельств вредоносной активности ботнета, такой как рассылка спама или осуществление DDoS-атак, обнаружено пока не было.

 

Текущая версия Rakos способна выполнять лишь ограниченное число операций:

  • инфицировать устройства;
  • устанавливать соединение с C&C-серверами;
  • получать от командных серверов конфигурационный файл со списком комбинаций из паролей и логинов.


Вредонос запрашивает у управляющего сервера IP-адрес, а затем пытается авторизоваться через порт SSH с помощью одной из комбинаций учетных данных. Например, печально известный вредонос Mirai работает по такому же принципу, однако вместо SSH использует Telnet.

В случае если Rakos удалось авторизоваться, тогда вредонос загружает свой код на новый хост, а также загружает и запускает локальный web-сервер с использованием порта 61314. Через определенные интервалы времени Rakos передает на C&C-сервер такие данные о хосте, как:

  • архитектура процессора;
  • номер версии;
  • IP-адрес;
  • подробности об аппаратном обеспечении и пр.


В любой момент C&C-сервер может отправить боту обновления с новыми функциями. Сейчас Rakos не является персистентным и удаляется после перезагрузки системы. Однако если устройство не защищено надежным паролем, в считанные минуты оно снова заражается вредоносным ПО.


Обновлено (21.12.2016 18:32)