พบ Botnet ตัวใหม่ คล้าย Mirai พุ่งเป้า Linux Server และอุปกรณ์ IoT

ESET ผู้ให้บริการซอฟต์แวร์​ Antivirus ชื่อดังออกมาเปิดเผยถึง Botnet ตัวใหม่ที่เริ่มแพร่กระจายเมื่อเดือนสิงหาคมที่ผ่านมา โดยมีเป้าหมายคือ Linux Server และอุปกรณ์​ IoT ที่ใช้ระบบปฏิบัติการ Linux ซึ่งขณะนี้ยังไม่พบว่า Botnet ดังกล่าวจะทำความเสียหายแก่ระบบอินเทอร์เน็ตแต่อย่างใด เพียงแค่แพร่กระจายตัวรอรับคำสั่งจากแฮ็คเกอร์เท่านั้น

Botnet ดังกล่าวมีชื่อว่า Rakos แพร่กระจายตัวไปยังอุปกรณ์อื่นผ่านทางการโจมตีแบบ Dictionary (Brute-force Attack แบบหนึ่ง) ซึ่งมีลักษณะคล้าย Mirai IoT Botnet ชื่อดัง โดย Rakos จะรับข้อมูลเป้าหมายที่จะแพร่กระจายตัวจาก C&C Server จากนั้นจะพยายามล็อกอินไปยังเป้าหมายผ่านทาง SSH โดยใช้ Username/Password ที่เก็บอยู่ภายในตัว (Mirai ต้นแบบโจมตีผ่านทาง Telnet) เมื่อล็อกอินได้สำเร็ว Rakos จะดาวน์โหลด Binary ไปยังเป้าหมายใหม่ แล้วเริ่มทำงาน Web Server บนพอร์ต 61314 สำหรับใช้อัปเดตและอัปเกรดระบบของตนเอง

จากการตรวจสอบอุปกรณ์ที่ติดมัลแวร์ Rakos พบว่ามัลแวร์จะสร้างโฟลเดอร์ชื่อ “.javaxxx”, “.swap” หรือ “kworker” สำหรับใช้ดำเนินการต่างๆ เช่น เชื่อมต่อกับ C&C Server เพื่อร้องขอไฟล์การตั้งค่า โหลดรายชื่อ Username/Password สำหรับแคร็ก ส่งข้อมูลเกี่ยวกับโฮสต์ เป็นต้น อย่างไรก็ตาม Rakos ยังไม่มีกลไกที่ทำให้ตนเองฝังตัวอยู่ในโฮสต์ได้อย่างถาวร นั่นหมายความว่า ถ้าผู้ใช้รีสตาร์ทอุปกรณ์ก็สามารถจัดการกับมัลแวร์ได้ทันที

จนถึงตอนนี้ ยังไม่พบทราฟฟิคอันตรายที่มาจากอุปกรณ์ที่ติด Rakos Botnet เช่น การโจมตีแบบ DDoS หรือทราฟฟิค Spam Proxy แต่อย่างใด แต่แฮ็คเกอร์สามารถเพิ่มฟีเจอร์ต่างๆ ให้ Rakos Botnet ภายหลังผ่าน C&C Server ได้ตามต้องการ

ที่มา: https://www.bleepingcomputer.com/news/security/mysterious-rakos-botnet-rises-in-the-shadows-by-targeting-linux-servers-iot-devices/