Sembra non esserci pace per i possessori di sistemi operativi basati su Linux, in quanto è stata scoperta una botnet chiamata RapperBot che applica la tecnica del brute force per bucare le reti connesse tramite server SSH e stabilire così un punto d’ingresso per malware o backdoor.
I ricercatori di Fortinet hanno dimostrato che RapperBot si basa sul trojan Mirai ma si discosta dal normale comportamento del malware originale, in quanto la botnet è strettamente controllata, con funzionalità DDoS limitate, un proprio server C2 e con l’unico obiettivo di fornire il solo accesso al server, come da fornire l’accesso a ulteriori attacchi laterali verso la rete. Negli ultimi mesi, la botnet ha impiegato oltre 3.500 indirizzi IP unici per riuscire ad autenticarsi su un server SSH.
Rispetto a Mirai, che colpisce principalmente server Telnet sfruttando la debolezza delle password di default, RapperBot punta esclusivamente ai server SSH che accettano autenticazione tramite password, andando quindi a individuare tale password per tentativi. Il malware è in grado di colpire server che supportano l’algoritmo Diffie-Hellmann con chiavi a 768 bit o 2048 bit e la crittografia dei dati tramite AES128-CTR. Ovviamente l’attacco ha come base una lista di chiavi SSH presente sul server C2, che darà un segnale positivo non appena trova una corrispondenza sul server colpito.
I ricercatori di Fortinet hanno seguito il bot e hanno continuato a campionare nuove varianti, notando che RapperBot utilizzava un meccanismo di auto-propagazione tramite un downloader binario remoto, che è stato rimosso dagli autori della minaccia a metà luglio. La versione attuale invece sfrutta un comando da shell che sostituisce le chiavi SSH del server con quelle dell’aggressore, garantendo quindi persistenza anche in caso di modifica della password. Include inoltre un sistema che aggiunge automaticamente le chiavi al file “~/.ssh/authorized_keys” di Linux, così che l’accesso venga garantito anche in caso di rimozione del malware dal sistema.
Per un ulteriore sicurezza, il malware aggiunge l’utente root suhelper al sistema ed esegue un cron job (attività automatica) per verificare che l’utente non venga eliminato e nel caso aggiungerlo nuovamente. Oltre a questo, le chiavi SSH dannose vengono ulteriormente criptate tramite la codifica XOR. Solitamente lo scopo di una botnet è quello di eseguire attacchi DDoS massivi per mettere fuori uso determinati servizi, ma siccome RapperBot viene limitata in questo ancora non è ben chiaro lo scopo di utilizzo.