-To Remaiten απειλεί την ασφάλεια των χρηστών, πραγματοποιώντας επιθέσεις μέσω οικιακών router.[su_spacer size=”2″]
-Σε κίνδυνο όλες οι συσκευές που διαθέτουν ανοιχτή θύρα Telnet.[su_spacer size=”2″]
-Tι πρέπει να κάνουν οι χρήστες για να προστατευτούν.[su_spacer size=”2″]
Οι προγραμματιστές malware έχουν δημιουργήσει ένα νέο DDoS bot με την ονομασία Remaiten, το οποίο στοχεύει οικιακά routers που λειτουργούν με κοινές αρχιτεκτονικές Linux, και εμφανίζει αρκετές ομοιότητες με άλλα ισχυρά DDoS bots, όπως Τsunami και Gafgyt.
Ο τρόπος λειτουργίας του Remaiten είναι πολύ απλός. Οι δημιουργοί του συγκεκριμένου bot χρησιμοποιούν ένα αυτοματοποιημένο σύστημα που σαρώνει τους διασυνδεδεμένους δρομολογητές και προσπαθεί να αποκτήσει πρόσβαση σε αυτούς μέσω της θύρας Telnet(23).
Εάν η συγκεκριμένη θύρα είναι ανοιχτή, το Remaiten δοκιμάζει διαφορετικούς, βασικούς συνδυασμούς usernames και passwords. Εάν κάποια συσκευή δεν έχει ασφαλιστεί με ισχυρούς κωδικούς πρόσβασης και διαθέτει τις προεπιλεγμένες εργοστασιακές ρυθμίσεις, το DDoS Bot αποκτά με ευκολία πρόσβαση σε αυτή και τη μολύνει με ένα απλοϊκό malware.
Αυτός ο τρόπος λειτουργίας έχει αντιγραφεί από το DDoS bot Gafgyt, το οποίο λειτουργεί με τον ίδιο τρόπο. Η κύρια διαφορά από το Gafgyt είναι ότι η συγκεκριμένη παραλλαγή του malware, από τη στιγμή που θα αποκτήσει πρόσβαση στη συσκευή, ανιχνεύει την αρχιτεκτονική του δρομολογητή και κατεβάζει το κατάλληλο Remaiten bot. Σε αυτό το στάδιο, το Gafgyt αντίστοιχα θα επιχειρούσε να κατεβάσει όλα τα διαθέσιμα binaries και να τρέξει το καθένα ξεχωριστά μέχρι να βρεθεί κάποιο συμβατό με τη μολυσμένη συσκευή. Με την ανίχνευση ωστόσο της πλατφόρμας και τη λήψη ενός μόνο binary, το Remaiten αφήνει ελάχιστα στοιχεία πίσω του.
[su_button url=”https://www.secnews.gr/102569/to-18-tou-web-traffic-proerxetai-apo-kakoboula-bot/” target=”blank” style=”glass8″ wide=”yes” center=”yes”]Το 18% του web traffic προέρχεται από κακόβουλα bot[/su_button]
Μόλις ο δρομολογητής μολυνθεί με το Remaiten, το bot τον καταχωρεί αμέσως στους C & C servers του. Ο διακομιστής C & C πρόκειται στην ουσία για ένα πραγματικό κανάλι IRC, καθώς όλες οι επικοινωνίες πραγματοποιούνται μέσω του πρωτοκόλλου IRC (Internet Relay Chat). Οι εγκληματίες μπορούν να στέλνουν εντολές σε όλα τα bots μέσω IRC μηνυμάτων, διατάσσοντάς τα να ξεκινούν DDoS επιθέσεις έναντι διάφορων στόχων.
Επιπλέον, το Remaiten έχει τη δυνατότητα να αφαιρεί οποιαδήποτε άλλα bots εντοπίζει στο router, προκειμένου να εξασφαλίσει την αξιοποίηση του συνόλου των πόρων της συσκευής.
Η ερευνητική ομάδα της ESET αναφέρει ότι το bot Remaiten στοχεύει δρομολογητές που λειτουργούν με MIPS, ARM, Power PC, και Super H αρχιτεκτονικές.
