Μία νέα σειρά κακόβουλων δραστηριοτήτων Roboto Botnet ήρθε στο φως, η οποία εκμεταλλεύεται την ευπάθεια RCE για να επιτεθεί σε Webmin servers της Linux.
Η πρώτη που ανακάλυψε το Roboto Botnet, ήταν η Netlab360, η οποία το χαρακτήρισε ως αρχείο ELF (Executable Linkable Format). Η πρώτη ανακάλυψη έγινε τον Αύγουστο, ενώ αργότερα και η Honeypot ανίχνευσε ένα ακόμα δείγμα ύποπτου ELF, το οποίο λειτουργούσε ως downloader για να κατεβάζει το εν λόγω bot.
Τους τελευταίους τρεις μήνες, οι ερευνητές ασφαλείας παρακολουθούν συνεχώς τις κινήσεις και τις δραστηριότητες του Roboto, ώστε να ανακαλύψουν τους στόχους του και τις μεθόδους που χρησιμοποιεί.
Έχει ανακαλυφθεί, ότι το Roboto Botnet χρησιμοποιεί αλγόριθμους όπως οι Curve25519, Ed25519, TEA, SHA256, HMAC-SHA256, ώστε να διατηρείται η ακεραιότητά του, να προστατεύεται και να αποκτά persistent control σε Linux Webmin servers.
Σύμφωνα με τους ερευνητές: “το botnet έχει λειτουργικότητα DDoS, αλλά φαίνεται ότι οι επιθέσεις DDoS δεν είναι ο κύριος σκοπός του. Δεν έχουμε ακόμα εντοπίσει καμία επίθεσης DDoS, από τότε που το ανακαλύψαμε. Πρέπει ακόμα να μάθουμε τον πραγματικό σκοπό του.”
Οι ερευνητές παρατήρησαν τη διάδοση του Roboto μέσω 51.38.200.230 (υπηρεσία Webmin Honeypot) και το δείγμα του downloader το οποίο εξαπλώνεται μέσω της ευπάθειας Webmin RCE (CVE-2019-15107).
H διεύθυνση λήψης URL http://190.114.240.194/boot βοηθά στη διάδοση του payload.
Ο κύριος σκοπός του Roboto downloader είναι να κατεβάσει το κρυπτογραφημένο πρόγραμμα Roboto Bot από μια συγκεκριμένη διεύθυνση URL. Αργότερα το κακόβουλο πρόγραμμα θα το αποκρυπτογραφήσει και θα το εκτελέσει.
Το Roboto Botnet μπορεί να εκτελέσει μια ποικιλία προηγμένων λειτουργιών, όπως reverse shell, αυτόματη απεγκατάσταση, συλλογή πληροφοριών δικτύου, συλλογή πληροφοριών bot, εκτέλεση εντολών συστήματος, εκτέλεση κρυπτογραφημένων αρχείων που ειδικεύονται σε διευθύνσεις URL, επιθέσεις DDoS και πολλά άλλα.
Το Roboto παρέχει τη δυνατότητα εκτέλεσης μία επίθεσης DDoS, μέσω των ακόλουθων μεθόδων:
CMP Flood
HTTP Flood
TCP Flood
UDP Flood
H Netlab360 συστήνει στους χρήστες Webmin να εξετάσουν εάν έχουν μολυνθεί, ελέγχοντας τη διαδικασία, το όνομα του αρχείου και τη σύνδεση δικτύου UDP και να μπλοκάρουν όλα τα IP, URL και domain names που σχετίζονται με το Botnet.
