info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

تشکیل ارتشی جدید از بات‌ها! راکوس آماده حمله می‌شود؟

خلاصه: در چند ماه گذشته هزاران دستگاه توسط بدافزاری جدید با نام راکوس هک شده‌اند. این بات‌نت دستگاه‌های مبتنی بر لینوکس و بخصوص ابزار‌های اینترنت اشیا را هدف گرفته است. با توجه به اینکه تاکنون از این بات‌ها هیچ‌گونه سوء استفاده ای نشده است، کارشناسان معتقدند که این بات‌ها ممکن است برای انجام یک حمله منع دسترسی توزیع شده (DDoS) گسترده آماده شوند.​

در اواخر سال میلادی گذشته محققان شرکت ESET بدافزاری را کشف نمودند که با انجام حمله جستجوی کامل روی پورت SSH، سیستم‌های مبتنی بر لینوکس را هدف قرار می‌داد. در گزارشی که این شرکت منتشر نمود، اعلام نمود که این بات‌ها تاکنون برای اجرای حملات منع دسترسی توزیع‌شده یا کمپین‌های ارسال پیام اسپم مورد استفاده قرار نگرفته‌اند.

یک شرکت تحقیقاتی امنیتی برزیلی به نام Morphus اخیرا در هانی‌پات‌های خود به شدت با این بدافزار تعامل داشته است و توانسته این بدافزار را تحلیل کند. این شرکت اعلام نموده که این بدافزار بیش از ۸.۳۰۰ دستگاه را در ۱۷۸ کشور آلوده نموده است.

بدافزار راکوس (Rakos) شامل بات‌ها و سرور‌های کنترل و فرمان است؛ اما با توجه به اینکه راکوس یک بدافزار نقطه به نقطه (P2P) است، ماشین‌های آلوده به این بدافزار می‌توانند هم نقش بات و هم نقش سرور کنترل و فرمان را بازی کنند. بات‌های راکوس از طریق سرور کنترل و فرمان یک لیسن آی‌پی دریافت کرده و به این هاست‌ها از طریق پورت SSH حمله می‌کنند. این بدافزار هم مانند بسیاری از بدافزار‌های دیگر این حوزه مثل Mirai و Hajime با راه‌اندازی مجدد دستگاه از روی دستگاه پاک می‌شود.

محققان شرکت Morphus با تزریق سنسور‌ها به شبکه و جا زدن آن‌ها به عنوان دستگاه‌های آلوده توانسته‌اند بدافزار را تحلیل کنند. جمع‌آوری اطلاعات در طول ۷۲ ساعت نشان داده که در طول این زمان حدود ۲۵.۰۰۰ دستگاه آلوده شده‌اند که بر اساس این آمار می‌توان گفت روزانه ۸.۳۰۰ بات به دستگاه‌های تحت کنترل راکوس اضافه می‌شود. در میان این تعداد، حدود ۳۰۰ سرور کنترل و فرمان وجود دارد.

بیشترین کشور آلوده به این بدافزار چین با ۳.۳۰۰ دستگاه آلوده است و پس از آن ویتنام، تایوان، تایلند، روسیه، هند و برزیل قرار دارند.

کارشناسان بیان کرده‌اند که بیش از ۴۵ درصد از دستگاه‌های آلوده، ابزار‌های Raspberry Pi هستند که روی آن‌ها توزیعی از لینوکس برای سیستم‌های تعبیه‌شده با نام OpenELEC قرار دارد. همچنین اکسس‌پوینت‌های وایرلس نیز از محبوب‌ترین اهداف این بدافزار بوده است.

موفقیت راکوس در هک دستگاه‌ها به دلیل رعایت نکردن صاحبان دستگاه‌ها در انتخاب یک کلمه عبور قوی است. البته کارشناسان این مورد را نیز بیان نموده‌اند که در بعضی موارد همچون OpenELEC کلمه عبور پیش‌فرض SSH توسط کاربران قابل تغییر نیست.

تعداد ۸.۳۰۰ بات تحت کنترل راکوس شاید نتواند خطرات جدی همچون Mirai ایجاد کند اما می‌تواند در حملات منع دسترسی به سازمان‌ها و یا مراکز مختلف مورد استفاده قرار گیرد. یک توزیع جدید از Mirai با دارا بودن همین تعداد بات، به یک کالج امریکایی حمله منع دسترسی توزیع شده کرد که حجم حمله آن به ۳۷.۰۰۰ درخواست در ثانیه می‌رسید.

با توجه به اینکه تاکنون هیچ اقدامی توسط بات‌های راکوس گزارش نشده است کارشناسان معتقدند که هکر مسئول این بات فعلا در تلاش است که تعداد بات‌های تحت مدیریت خود را به اندازه دلخواه برساند. پس از آن ممکن است این بات را بفروشد یا از آن برای ایجاد حملات منع دسترسی گسترده استفاده کند.

مطالب مرتبط