Mã độc Kaiji nhắm vào Server Linux, thiết bị IoT bằng cách tấn công DDoS

Các nhà nghiên cứu bảo mật tại Intezer Labs và một nhà nghiên cứu cá nhân có tên MalwareMustDie đã phát hiện ra một chủng phần mềm độc hại mới ảnh hưởng đến các máy chủ và thiết bị IoT dựa trên Linux. Các báo cáo cho thấy botnet này có tên Kaiji, nguồn gốc từ Trung Quốc và nhắm mục tiêu tài khoản có quyền root.

Các bài viết liên quan

Người dùng Windows 10 đang chuyển sang macOS và Linux

05/05/2020

Hacker đang sử dụng ứng dụng Zoom để cài đặt RAT – phần mềm gián điệp

05/05/2020

Download Ubuntu 20.04 LTS “Focal Fossa” – Phiên bản Final chính thức phát hành

24/04/2020 - Updated on 10/05/2020

Cách cài đặt Windows Subsystem For Linux 2 trên Windows 10

23/04/2020

Malware ‘Kaiji’ đang DDOS vào Server Linux, thiết bị IoT trên diện rộng

Điều khiến Kaiji khác biệt với các phần mềm độc hại khác là nó được phát triển bằng ngôn ngữ lập trình Go thay vì C hoặc C++, đây là những ngôn ngữ phổ biến nhất để lập trình các chủng phần mềm độc hại.

Phần mềm độc hại dựa trên ngôn ngữ lập trình Go rất hiếm khi xảy ra do phần lớn các nhà khai thác phần mềm độc hại sử dụng các dự án C và C++ miễn phí có sẵn trên Github để phát triển phần mềm độc hại. Phát triển phần mềm độc hại từ đầu bằng ngôn ngữ Go là một công việc tẻ nhạt.

Theo Paul Litvak từ Intezer, hệ sinh thái botnet Internet vạn vật (IoT) tương đối được các chuyên gia bảo mật ghi lại. Rất ít khi chúng ta thấy các mã độc được viết lại từ đầu như Kaiji.

Một báo cáo của các nhà phân tích bảo mật cho thấy botnet vẫn chưa đủ khả năng để khai thác các thiết bị chưa được vá. Kaiji sử dụng một cuộc tấn công brute force để nhắm mục tiêu vào các thiết bị IoT và máy chủ Linux có cổng SSH được hiển thị trên internet.

Botnet chỉ nhắm mục tiêu các tài khoản root vì nó yêu cầu quyền truy cập root để thao tác các gói mạng thô cho các cuộc tấn công DDoS và các hoạt động độc hại khác.

Khi phần mềm độc hại đạt được quyền truy cập vào tài khoản root thành công, nó có thể ảnh hưởng đến các thiết bị theo 3 cách khác nhau:

• Thực hiện các cuộc tấn công DDoS
• Thực hiện thêm các cuộc tấn công lực lượng SSH-Brute chống lại các thiết bị khác
• Ăn cắp các khóa SSH để lây lan sang các thiết bị khác mà nó đã xâm phạm trong quá khứ

Các nhà nghiên cứu bảo mật đã tiết lộ rằng botnet Kaiji vẫn đang trong quá trình hoàn thiện vì họ đã phát hiện ra rằng nó vẫn thiếu các tính năng và có các chuỗi demo demo trong một số đoạn mã.

Gần đây, chúng ta đã chứng kiến ​​sự gia tăng số lượng phần mềm độc hại nhắm vào các máy chủ Linux và Kaiji là một ví dụ khác về các tác giả phần mềm độc hại chuyển trọng tâm của họ sang các thiết bị Linux và IoT. Mối quan tâm trong những trường hợp này là có thể đặc biệt khó xác định xem một thiết bị có bị ảnh hưởng hay không.