Az ESET biztonságtechnológiai cég kutatói a Linuxos rendszereket támadó Kaiten nevű kártevő új, továbbfejlesztett változatát fedezték fel. Ez az IRC (Internet Relay Chat) vezérelt hátsóajtó program, a megfertőzött számítógépeket botnet hálózatba kapcsolja, majd azokat elosztott szolgáltatásmegtagadással járó támadások (Distributed Denial of Service, DDoS) végrehajtásához használja fel. A továbbfejlesztett „KTN-Remastered" vagy „KTN-RM" verziót a Linux/Remaiten három verziójával együtt azonosították az ESET szakemberei. A vizsgálatok alapján a kártevő legfőbb jellemzője az újfajta terjedési mechanizmusa. 

Az ESET biztonságtechnológiai cég kutatói a Linuxos rendszereket támadó Kaiten nevű kártevő új, továbbfejlesztett változatát fedezték fel. Ez az IRC (Internet Relay Chat) vezérelt hátsóajtó program, a megfertőzött számítógépeket botnet hálózatba kapcsolja, majd azokat elosztott szolgáltatásmegtagadással járó támadások (Distributed Denial of Service, DDoS) végrehajtásához használja fel. A továbbfejlesztett „KTN-Remastered" vagy „KTN-RM" verziót a Linux/Remaiten három verziójával együtt azonosították az ESET szakemberei. A vizsgálatok alapján a kártevő legfőbb jellemzője az újfajta terjedési mechanizmusa. 

A Linux/Gafgyt kártevő telnet szkennelésére épülő KTN-RM downloader futtatható bináris fájlokat tartalmaz az olyan beépülő platformokra, mint például routerek, vagy más beágyazott kódokat kezelő hálózatba kötött eszközök. A kártevő ezzel a szokatlan terjedési mechanizmussal elsősorban a gyenge bejelentkezési adatokkal rendelkező eszközöket képes sikeresen megtámadni.

 „A letöltő program feladata a Linux/Remaiten bot letöltése a Command & Control szerverről az éppen aktuális architektúrára. Futása során azonban létrehoz egy másik botot is, amelyet a távoli támadók fognak használni. Korábban a Linux/Moose kártevő esetében láttuk már ugyanezt a terjedést segítő technikát" – mondta Michal Malík, az ESET víruskutatója."

„További érdekesség, hogy a kártevőtörzs tartalmaz egy üzenetet azok számára, akik megpróbálják semlegesíteni a fenyegetést. Az üdvözlő üzenet 2.0-ás verziója ugyanis a malwaremustdie.org oldalra irányít át, amely korábban már részletes elemzést közölt a Gafgyt, a Tsunami, valamint a kártevőcsalád további tagjairól" – tette hozzá Malík."

 

További részleteket a WeLiveSecurity blogján olvashat:

http://www.welivesecurity.com/2016/03/30/meet-remaiten-a-linux-bot-on-steroids-targeting-routers-and-potentially-other-iot-devices/

 

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük