Alguien está construyendo una red de bots mediante la infección de servidores Linux y dispositivos IO basados en Linux con un nuevo ejemplar de malware llamado Rakos.
Detectado por primera vez durante el verano del 2016, este nuevo ejemplar de malware es inofensivo, al menos en su variante actual.
Actualmente, el programa malicioso Rakos se utiliza para llevar a cabo ataques de (fuerza bruta) contra otros dispositivos, infectando a las víctimas con la cepa Rakos, la adición de dispositivos a una red de bots, y el uso de los robots de recién adquiridas de encontrar y de fuerza bruta otros objetivos.
Si bien no se ha detectado ninguna actividad maliciosa hay procedente de los dispositivos controlados por el programa malicioso Rakos, tales como ataques DDoS y tráfico del proxy correo no deseado, esto todavía puede ocurrir en un futuro próximo.
Los primeros signos de infecciones Rakos detectados en agosto el año 2016
De acuerdo con ESET los investigadores Peter y Michal Kalnai Malik, propietarios de dispositivos IO y servidores de Linux han estado reportando las infecciones con el malware Rakos desde agosto de este año.
Sobre la base de los informes de los usuarios y análisis de las diferentes cepas Rakos descubiertos infectados con el tiempo, el malware por lo general crea una carpeta con el nombre ".javaxxx", ".swap", o "kworker" desde donde se opera.
Actualmente, el programa malicioso puede realizar sólo unas pocas operaciones. En primer lugar, después de infectar un dispositivo, se establece una conexión con su servidor de comando y control, que solicita un archivo de configuración.
Este archivo contiene el número de versión de configuración, los servidores de copia de seguridad de C & C, y una lista de combinaciones de usuario y contraseña.
Rakos actualmente es utilizado para la fuerza bruta con otros dispositivos a través de SSH
Rakos pide al servidor C & C para obtener una dirección IP e intenta conectarse a esa dirección IP a través del puerto SSH usando una de estas combinaciones de paso de usuario. El malware Mirai funciona muy parecido pero se dirige a los puertos Telnet en lugar de SSH.
Si el ataque de fuerza bruta SSH tiene éxito, Rakos descarga su binario para el nuevo host, y descarga e inicia un servidor web local en el puerto 61314. Este servidor se utiliza para el sistema de actualización automática y auto-actualización.
Infecciones Rakos pueden ser removidos por restablecer el dispositivo
A intervalos regulares, Rakos también informa de nuevo a su servidor de C & C con detalles acerca del anfitrión, como la arquitectura de chip, número de versión de configuración, los detalles de hardware del dispositivo, la dirección IP, y mucho más.
En cualquier momento, el servidor C & C puede iniciar una operación de actualización, la adición de nuevas características para el bot. Afortunadamente, en el momento de la escritura, los robots de Rakos no poseen un mecanismo de persistencia, así que una vez que el usuario reinicia el dispositivo, se elimina la infección de malware.
Por desgracia, si el dispositivo no ha sido protegido por una contraseña segura SSH, que conseguirá a infectarse en cuestión de minutos.
En la actualidad, todos los indicios apuntan a que esto podría ser una red de bots en la fabricación, que una vez que se alcanza un cierto tamaño, podría ser desplegado para operaciones maliciosos.
