Експерти по сигурността алармираха за интензивно разпространение на нов злонамерен софтуер, който атакува вградени устройства и сървъри на база Linux.
Става въпрос за формиране на „ботнет на нещата” – вредоносна мрежа от устройства, попадащи в категорията интернет на нещата (IoT), според описанието в блога на Eset.
От техническа гледна точка методът на атаката е достатъчно прост – вирусът Rakos търси в мрежата устройства с отворен SSH порт и чрез „груба сила” налучква логините и паролите за тях, заразява ги, а след това ги използва за по-нататъшното си разпространение.
Първоначално Rakos разчита на малък списък от адреси, на които са разположени слабозащитени мишени, като постепенно разширява обхвата на търсенето.
След като зарази устройството, Rakos създава в него локален HTTP сървър, който позволява на бъдещите версии на вируса да затварят процесите на старите версии, и се опитва да декодира URL заявки по определени параметри. Rakos също така създава уеб сървър, който прослушва входящите връзки за случайни TCP портове в диапазона 20000-60000.
Ако към такъв порт постъпи заявка, в отговор вирусът изпраща информация с IP адрес. Rakos изпраща също първоначална HTTP заявка с важни данни за заразеното устройство към команден сървър. В частност, предават се логини и пароли, благодарение на които престъпниците получават пряк контрол над устройствата.
Предишната версия на троянеца извършваше търсене и на SMTP услуга, но в новото издание тази функция е изключена. В момента Rakos не притежава функции за провеждане на DDoS атаки или разпространение на спам, но със сигурност такива възможности ще се появят скоро във вируса, убедени са експертите.
