Πριν από δύο εβδομάδες, ένας ερευνητής ασφαλείας με όνομα MalwareMustDie ήρθε αντιμέτωπος με ένα νέο Linux trojan (LuaBot), που, σύμφωνα με τον ίδιο, ήταν το πρώτο κακόβουλο Linux λογισμικό που είχε γραφτεί στη γλώσσα Lua.
Η αντίστροφη ανάλυση του κώδικα απέδειξε ότι το trojan στόχευε κυρίως IoT αρχιτεκτονικές και περιείχε λειτουργικότητα για να πραγματοποιήσει DDoS επιθέσεις και μια ανεπιβεβαίωτη λειτουργία για να παρακάμπτει την DDoS προστασία που παρέχεται από τη Sucuri, έναν προμηθευτή διαδικτυακής ασφάλειας των ΗΠΑ.
Στον πηγαίο κώδικα του LuaBot, ο συγγραφέας του κακόβουλου λογισμικού είχε αφήσει και ένα μήνυμα που έγραφε: “Hi. Happy reversing, you can mail me: [REDACTED .ru email address].“
Ένας Γάλλος ερευνητής ασφαλείας, που φέρει το όνομα x0rz, επικοινώνησε με τον συγγραφέα του malware και του έκανε μερικές ερωτήσεις. Οι απαντήσεις έχουν δημοσιευθεί online.
Σε αυτή τη μίνι-συνέντευξη, ο απατεώνας λέει ότι δεν δουλεύει στη infosec κοινότητα, ούτε είναι ένας cyber-εγκληματίας που συνδέεται με οποιαδήποτε hacking ομάδα.
Ο ίδιος περιγράφει τον εαυτό του ως «κανένας (nobody)» και λέει ότι το κακόβουλο λογισμικό του “δεν είναι επιβλαβές.” Στηρίζει την εκτίμηση αυτή στο γεγονός ότι το LuaBot, το malware του, δεν κλέβει τα διαπιστευτήρια σύνδεσης router.
Ο LuaBot συγγραφέας λέει ότι εργαζόταν για το κακόβουλο λογισμικό για χρόνια και ότι εκείνο που αρχικά ξεκίνησε για πλάκα έχει πλέον μετατραπεί σε κέρδος.
Ο ίδιος αρνήθηκε να ονομάσει το είδος της δραστηριότητας από την οποία επωφελείται, αλλά λέει ότι δεν τρέχει καμία DDoS Stresser υπηρεσία, όπως εκείνα τα «vDos kids».
Επιπλέον, ο ίδιος δηλώνει, ότι δουλεύει με ιδιώτες και ότι δεν μπλέκεται με τράπεζες ή κυβερνήσεις.
Ο χάκερ λέει, επίσης, ότι χρησιμοποιεί τις δικές του zero-days, για να μολύνει τις συσκευές. Ένας ερευνητής ασφαλείας από τη Βραζιλία, ο οποίος κοίταξε, επίσης, το κακόβουλο λογισμικό, λέει ο κώδικας φαίνεται να στοχεύει ARRIS routers.
Πρόκειται για τον ίδιο ερευνητή που το περασμένο έτος είχε ανακαλύψει τρεις κερκόπορτες σε ARRIS routers, που επηρέαζαν πάνω από 600.000 μόντεμ συνδεδεμένα στο διαδίκτυο.
“Αν μπορούμε να εκτελέσουμε το ίδιο ερώτημα σήμερα (Σεπτέμβριος / 2016) μπορούμε να δούμε ότι ο αριθμός των εκτεθειμένων συσκευών μειώθηκε περίπου στο 35.000”, σημειώνει ο Bernardo Rodrigues, ο ερευνητής από τη Βραζιλία.
Επιπλέον, ο ερευνητής υποστηρίζει ότι, κατά το πρώτο στάδιο της μόλυνσης, το LuaBot χρησιμοποιεί firewall rules για να εμποδίσει την περαιτέρω πρόσβαση στη συσκευή από εξωτερικές συνδέσεις, το οποίο είναι ένα προφανές χαρακτηριστικό αυτο-προστασίας.
Παρ’ όλα αυτά, το κακόβουλο λογισμικό δεν περιλαμβάνει boot persistence μηχανισμό και ένα router restart το αφαιρεί από τη συσκευή.
Κατά τη στιγμή της γραφής, δεν υπάρχουν επιθέσεις, που να έχουν γίνει γνωστές, οι οποίες ταιριάζουν με LuaBot μολύνσεις και παρά την παρουσία των HTTP flooding λειτουργιών (για τις DDoS επιθέσεις), το κακόβουλο λογισμικό και ο σκοπός του παραμένουν ένα μυστήριο.
