Μια νέα μορφή malware στοχεύει Linux servers και Internet of Things (IoT) συσκευές και τα προσθέτει στο botnet του. Σύμφωνα με το Juniper Threat Labs, πρόκειται για το πρώτο στάδιο μιας hacking εκστρατείας που στοχεύει cloud computing υποδομή.
Αυτό το malware είναι ένα κακόβουλο worm που αποκαλύφθηκε από τους ερευνητές του Juniper Threat Labs και ονομάζεται Gitpaste-12. Αυτό το όνομα του δόθηκε επειδή χρησιμοποιεί το GitHub και το Pastebin για τη φιλοξενία του κώδικά του και επειδή έχει 12 διαφορετικά μέσα για να παραβιάσει Linux based x86 servers, καθώς και Linux ARM και MIPS based IoT συσκευές.
Αυτά τα μέσα παραβίασης περιλαμβάνουν την εκμετάλλευση 11 γνωστών ευπαθειών σε Asus, Huawei, Netlink routers, MongoDB και Apache Struts. Επιπλέον, οι παραβιάσεις μπορούν να γίνουν με brute-force επιθέσεις για να “σπάσουν” προεπιλεγμένα ή συνηθισμένα credentials.
Αφού χρησιμοποιήσει μία από αυτές τις ευπάθειες, το Gitpaste-12 κατεβάζει scripts από το Pastebin για να παρέχει εντολές πριν από τη λήψη κι άλλων οδηγιών από ένα GitHub depositary.
 συσκευές και τα προσθέτει σε ένα botnet. Σύμφωνα με το Juniper){kind=link}
Το worm Gitpaste-12 προσπαθεί να απενεργοποιήσει τις άμυνες των συστημάτων, όπως των firewalls και των λογισμικών παρακολούθησης που σε άλλη περίπτωση θα αντιμετώπιζαν την απειλή.
Επιπλέον, το νέο malware περιέχει εντολές για την απενεργοποίηση υπηρεσιών ασφαλείας cloud μεγάλων κινεζικών εταιρειών, συμπεριλαμβανομένων των Alibaba Cloud και Tencent. Αυτό σημαίνει ότι η προσθήκη στο botnet μπορεί να είναι το πρώτο στάδιο μιας μεγάλης hacking εκστρατείας. Ωστόσο, ο τελικός σκοπός της επίθεσης δεν είναι γνωστός.
Σύμφωνα με τους ερευνητές ασφαλείας, το malware μπορεί να εκτελεί και cryptomining, επιτρέποντας στους επιτιθέμενους να κλέψουν Monero cryptocurrency.
Επιπλέον, το botnet, όπως είπαμε και πιο πάνω, λειτουργεί ως worm χρησιμοποιώντας παραβιασμένους υπολογιστές για την εκτέλεση κακόβουλων scripts σε άλλες συσκευές στο ίδιο ή σε συνδεδεμένα δίκτυα. Με αυτόν τον τρόπο, γίνεται εξάπλωση του malware.
“Κανένα malware δεν είναι καλό, αλλά τα worms είναι ιδιαίτερα ενοχλητικά“, είπαν οι ερευνητές. Τα worms μπορούν να εξαπλωθούν σε όλο το δίκτυο ενός οργανισμού και να μολύνουν πολλές συσκευές.
Το Pastebin URL και το GitHub depositary που χρησιμοποιούνται για την παροχή οδηγιών στο malware έχουν “κλείσει”, μετά την αποκάλυψη των ερευνητών. Αυτό σημαίνει ότι προς το παρόν, οι χρήστες δεν κινδυνεύουν από το botnet. Ωστόσο, οι ερευνητές πιστεύουν ότι οι hackers συνεχίζουν να αναπτύσσουν το Gitpaste-12, επομένως είναι πολύ πιθανό να επιστρέψει.
Για να είστε ασφαλείς από αυτή ή παρόμοια επίθεση, πρέπει να εφαρμόζετε όλες τις ενημερώσεις ασφαλείας που διορθώνουν γνωστές και κρίσιμες ευπάθειες. Επιπλέον, πρέπει να αποφεύγεται η χρήση προεπιλεγμένων κωδικών πρόσβασης σε IoT συσκευές για να αποτρέπονται brute force και άλλες επιθέσεις.
Πηγή: ZDNet