Siber güvenlik araştırmacıları, yeni bir virüs türü keşfettiler Gaffyt GPU hesaplama gücünü kullanarak tehlikeye atılmış örneklerde kripto para madenciliği yapmak için zayıf SSH şifrelerine sahip makineleri hedef alan botnet.
Aqua Security araştırmacısı Assaf Morag Çarşamba günü yaptığı analizde, bunun “IoT botnet’inin bulut tabanlı ortamlarda çalışan daha sağlam sunucuları hedef aldığını” gösterdiğini söyledi.
2014’ten beri doğada aktif olduğu bilinen Gafgyt (diğer adıyla BASHLITE, Lizkebab ve Torlus), yönlendiriciler, kameralar ve dijital video kaydediciler (DVR’ler) gibi cihazların kontrolünü ele geçirmek için zayıf veya varsayılan kimlik bilgilerini kullanma geçmişine sahiptir. Ayrıca Dasan, Huawei, Realtek, SonicWall ve Zyxel cihazlarındaki bilinen güvenlik açıklarından yararlanma yeteneğine sahiptir.
Enfekte cihazlar, ilgi duyulan hedeflere karşı dağıtılmış hizmet reddi (DDoS) saldırıları başlatabilen bir botnet’e hapsedilir. Gafgyt ve Necro’nun Keksec adlı bir tehdit grubu tarafından işletildiğine dair kanıtlar vardır; bu grup aynı zamanda Kek Security ve FreakOut olarak da takip edilir.
Gafgyt gibi IoT Botnet’leri sürekli olarak yeni özellikler eklemek için evrim geçiriyor ve 2021’de tespit edilen varyantlar kötü amaçlı aktiviteyi gizlemek için TOR ağını kullanıyor ve ayrıca sızdırılan Mirai kaynak kodundan bazı modülleri ödünç alıyor. Gafgyt’in kaynak kodunun 2015’in başlarında çevrimiçi olarak sızdırıldığını ve yeni sürümlerin ve uyarlamaların ortaya çıkmasını daha da körüklediğini belirtmekte fayda var.
Son saldırı zincirleri, “systemd-net” kullanarak bir kripto para madenciliği saldırısını kolaylaştırmak için bir sonraki aşama yüklerini dağıtmak üzere zayıf parolalara sahip SSH sunucularına kaba kuvvet uygulamayı içeriyor; ancak bunu, tehlikeye atılan ana bilgisayarda halihazırda çalışan rakip kötü amaçlı yazılımları sonlandırmadan önce yapmayın.
Ayrıca, interneti zayıf güvenlikli sunucular için tarayan ve kötü amaçlı yazılımı diğer sistemlere yayarak botnet’in ölçeğini etkili bir şekilde genişleten ld-musl-x86 adlı Go tabanlı bir SSH tarayıcısı olan bir solucan modülünü de çalıştırır. Bu, SSH, Telnet ve AWS, Azure ve Hadoop gibi oyun sunucuları ve bulut ortamlarıyla ilgili kimlik bilgilerini içerir.
“Kullanılan kripto madencisi, bir Monero kripto para madencisi olan XMRig’dir,” dedi Morag. “Ancak bu durumda, tehdit aktörü, GPU ve Nvidia GPU hesaplama gücünden yararlanan –opencl ve –cuda bayraklarını kullanarak bir kripto madencisi çalıştırmayı amaçlıyor.”
“Bu, tehdit aktörünün birincil etkisinin DDoS saldırıları yerine kripto madenciliği olması gerçeğiyle birleştiğinde, bu varyantın öncekilerden farklı olduğu iddiamızı destekliyor. Güçlü CPU ve GPU yeteneklerine sahip bulut tabanlı ortamları hedeflemeyi amaçlıyor.”
Shodan’dan yapılan sorguyla toplanan veriler, 30 milyondan fazla genel erişime açık SSH sunucusunun bulunduğunu gösteriyor. Bu da kullanıcıların bu örnekleri kaba kuvvet saldırılarına ve olası istismarlara karşı güvence altına almak için adımlar atmasını zorunlu kılıyor.