Нов ботнет прониква в сървърните системи, но целта му остава скрита засега
(снимка: CC0 Public Domain)
Ботнет, открит през юли тази година, започна да се разраства неимоверно бързо. Сървърните системи, които P2PInfect е компрометирал, са разпръснати по целия свят, според експерти по сигурност.
Само за два месеца P2PInfect е нараснал 600 пъти. Този мащаб е улеснен от появата на по-секретна версия на червея, с помощта на която ботнетът се разпространява в нови системи.
През юли експерти от Unit 42 (Palo Alto Networks) откриха, че злонамереният софтуер атакува екземпляри на Redis – хранилище на данни с отворен код, разположено изцяло в паметта на сървъра. Това става през критична уязвимост, която е типична за този софтуер както под Windows, така и под Linux. Въпросната уязвимост позволява изпълнение на произволен код в средата на Redis.
Експертите от Cado Security, които следят дейността на ботнета, отбелязват, че засегнатите от него системи са разположени почти по целия свят – в Китай, САЩ, Германия, Сингапур, Хонг Конг, Великобритания и Япония.
Освен това, новите прихванати проби от зловредния софтуер показват значителни промени в кода, които са подобрили характеристиките му на „червей”, и рязко увеличаване на активността.
Това се доказва от данни, взети от “honeypot” системи – примамки за зловреден софтуер, тоест компютри с уязвим софтуер и слаба защита на достъпа, използвани за прихващане на зловреден софтуер.
Ако през юли, август и началото на септември всяка седмица са наблюдавани само 2 до 6 опита на P2PInfect за проникване в honeypot системи, то между 12 и 19 септември са преброени 3619 такива опита – тоест броят на атаките се е увеличил 600 пъти.
Експертите на Cado отбелязват също, че и броят на вариантите на червея се е увеличил значително. Това показва, че разработчиците на P2PInfect работят с много високо ниво на активност.
Най-новите варианти на зловредния софтуер предизвикват най-голям интерес. Те правят червея P2PInfect много по-потаен от преди и по-опасен. Разработчиците са добавили нов механизъм за поддържане на присъствие въз основа на cron задачи и благодарение на него, основният компонент на зловредния софтуер се рестартира на всеки 30 минути.
В допълнение, злонамереният софтуер вече разполага с допълнителен компонент, който комуникира с първия чрез сокет на локален сървър и ако първият компонент спре да работи или бъде изтрит, ново копие се изтегля от друг ботнет възел и се рестартира.
Освен това зловредният софтуер вече използва SSH ключа, за да презапише всички други ключове. Правейки това, той не позволява на законните собственици и потребители да се свързват към компрометираната система чрез SSH. И ако злонамереният софтуер получи root привилегии, той също така променя паролите на всички в произволно генерирана комбинация от 10 знака, така че устройството вече да не е напълно достъпно за законните му собственици.
И накрая, както отбелязват експертите, P2PInfect е започнал да използва C структури (C struct configuration) като настройки за клиентския компонент, който вече може да се актуализира директно в паметта. Преди това не са наблюдавани конфигурационни компоненти в злонамерения софтуер.
На експертите все още им е трудно да определят целта на ботнета. Някои копия на зловредния софтуер при клиента се опитват да заредят допълнителни компоненти за криптовалута, но на вече компрометирани устройства не се наблюдава нищо, което да наподобява генериране на криптовалути.
Може би това е временно. Ботнет мрежите обикновено се използват за DDoS атаки, спам или криптокопаене. В случая се наблюдава бързо разрастващ се ботнет с много агресивен механизъм за разпространение и самозащита. Това показва, че е необходима не само по-голяма изчислителна мощност, но и стабилност и дългосрочно запазване на функционалността на същите възли.
Фактът, че ботнетът се създава за криптодобив, изглежда най-вероятната версия, въпреки че е възможно хибридно използване и частично отдаване под наем на ботнет.
Имайки предвид текущия размер на ботнета, неговото географско разпространение, способността за самообновяване и скоростта на растеж, P2PInfect може да се превърне в ценен актив за всяка кибергрупа, отбелязват експертите. Всички тези „предимства” правят ботнета много сериозна заплаха, без значение как се използва.
Почти целия свят … без Раша и Беларус.