Эксперты ESET выявили растущий ботнет из IoT-устройств и Linux-серверов, зараженных новой вредоносной программой Rakos. Ее обнаружили летом этого года, и, как утверждают эксперты, она в своем нынешнем виде малоопасна.
Сейчас хакеры применяют Rakos для проведения атак методом полного перебора на IoT-устройства с целью их заражения и добавления в ботнет. Инфицированное устройство распространяет программу и способствует расширению ботнета. Примечательно, что на данный момент не зафиксировано никаких следов вредоносной активности ботнета, включая рассылку спама или проведение DDoS-атак.
Нынешняя версия Rakos может выполнять лишь ограниченное количество операций: заражение устройств, установка соединения с командными серверами и получение от них конфигурационного файла с перечнем комбинаций из логинов и паролей. Вредоносная программа отправляет запрос управляющему серверу на получение IP-адреса, а затем пытается авторизоваться через порт SSH посредством одной из комбинаций учетной информации.
Если Rakos смогла пройти авторизацию, вредоносная программа загрузит свой код на новый хост, а также осуществит запуск локального веб-сервера с применением порта 61314. Через определенные временные интервалы Rakos передает на командный сервер информацию о хосте.
В любой момент командный сервер может передать боту обновления с новым функционалом. Сейчас Rakos удаляется после перезагрузки системы. Однако при отсутствии у устройства надежной парольной защиты оно может в считанные минуты быть заражено вредоносной программой.