Nauja „botnet“ kenkėjiškos programos „RapperBot“ versija naudojama žaidimų serveriams su DDoS atakomis nukreipti. IoT įrenginiai naudojami kaip vartai pasiekti serverius.
Žaidimų serveriai, kuriems taikomi DDoS atakuotojai
Grėsmės veikėjai naudoja RapperBot kenkėjišką programinę įrangą, kad galėtų platinti paslaugų atsisakymas (DDoS) atakos prieš žaidimų serverius. Linux platformoms gresia šio labai pavojingo robotų tinklo atakos.
A Fortinet tinklaraščio įrašas, buvo teigiama, kad RapperBot greičiausiai bus skirtas žaidimų serveriams dėl konkrečių palaikomų komandų ir dėl to, kad nėra su HTTP susijusių DDoS atakų. IoT (daiktų internetas) įrenginiams kyla pavojus, nors atrodo, kad RapperBot labiau rūpinasi senesniais įrenginiais, kuriuose yra Qualcomm MDM9625 mikroschemų rinkinys.
Panašu, kad „RapperBot“ yra skirtas įrenginiams, kuriuose veikia ARM, MIPS, PowerPC, SH4 ir SPARC architektūros, nors jis nėra skirtas veikti „Intel“ mikroschemų rinkiniuose.
Tai nėra „RapperBot“ debiutas
„RapperBot“ nėra naujiena kibernetinių nusikaltimų erdvėje, nors jis taip pat neegzistuoja jau daugelį metų. „Fortinet“ pirmą kartą laukinėje gamtoje „RapperBot“ pastebėjo 2022 m. rugpjūčio mėn., tačiau vėliau buvo patvirtinta, kad jis veikė nuo praėjusių metų gegužės. Šiuo atveju RapperBot buvo naudojamas SSH paleisti žiaurios jėgos išpuoliai platinti Linux serveriuose.
Fortinet minėtame tinklaraščio įraše nurodė, kad svarbiausias skirtumas šioje atnaujintoje versijoje „RapperBot“ yra „visiškas SSH brutalaus priverstinio kodo pakeitimas įprastesniu Telnet ekvivalentas“.
Šis „Telnet“ kodas skirtas savaiminiam platinimui, kuris labai panašus į senąjį „Mirai IoT“ robotų tinklą, kuris veikia ARC procesoriuose, ir gali būti jo įkvėptas. Mirai šaltinio kodas nutekėjo 2016 m. pabaigoje, todėl buvo sukurta daugybė modifikuotų versijų (viena iš jų gali būti RapperBot).
Tačiau skirtingai nei Mirai, ši „RapperBot“ įterptųjų dvejetainių atsisiuntimo programų iteracija „saugoma kaip pašalintos baitų eilutės, tikriausiai supaprastinti analizavimą ir apdorojimą kode“, kaip teigiama Fortinet tinklaraščio įraše apie naują botnetas.
„Botnet“ operatoriai nežinomi
Rašymo metu „RapperBot“ operatoriai lieka anonimiški. Tačiau „Fortinet“ teigė, kad vienas kenkėjiškas veikėjas arba veikėjų grupė, turintys prieigą prie šaltinio kodo, yra labiausiai tikėtini scenarijai. Daugiau informacijos apie tai gali pasirodyti artimiausiu metu.
Taip pat tikėtina, kad šią atnaujintą RapperBot versiją greičiausiai naudoja tie patys asmenys kurie vykdė ankstesnę iteraciją, nes jiems reikės prieigos prie šaltinio kodo išpuolių.
„RapperBot“ veikla ir toliau stebima
„Fortinet“ baigė savo tinklaraščio įrašą apie atnaujintą „RapperBot“ variantą, patikindama skaitytojus, kad kenkėjiškos programos veikla bus stebima ateityje. Taigi laikui bėgant galime ir toliau matyti daugiau „RapperBot“ naudojimo atvejų.