آلوده‌سازی سرورهای لینوکسی با بات‌نت اینترنت اشیاء Kaiji

کمیته رکن چهارم – سرورهای لینوکسی اینترنت اشیا در معرض بات‌نت جدیدی به نام Kaiji قرار دارند.

محققان امنیتی از شناسایی بدافزار جدیدی با عنوان Kaiji خبر داده‌اند که به‌طور خاص برای آلوده‌سازی سرورهای مبتنی بر Linux و دستگاه‌های موسوم به اینترنت اشیاء (Internet of Things – به اختصار IoT) طراحی شده‌است.

این بدافزار مهاجمان را قادر به اجرای حملات Distributed Denial-of-Service – به اختصار DDoS – می‌کند. در حالی که این روزها اکثر بدافزارهای ویژه اینترنت اشیاء به یکی زبان‌های C و C++ نوشته می‌شوند، Kaiji با زبان Go برنامه‌نویسی شده‌است.

دلیل عدم استقبال از Go، نه ناکارآمدی آن، که به رایگان قابل دسترس بودن پروژه‌های متعدد تحت C و C++ در انباره‌های GitHub و تالارهای گفتگوی نفوذگران است. پروژه‌هایی که به‌سادگی امکان ساخت بات‌نت‌های مبتنی بر اینترنت اشیاء را فراهم می‌کنند.

کمتر نویسنده بدافزاری را می‌توان یافت که صفر تا صد کدنویسی بات‌نت را خود انجام داده باشد. در حقیقت اکثر بات‌نت‌های اینترنت اشیاء ترکیبی از اجزا و ماژول‌های مختلف مورد استفاده در نمونه‌های دیگر هستند که در قالب گونه‌ای جدید اما بر پایه همان کدهای قدیمی عمل می‌کنند.

در عین حال، اکوسیستم بات‌نت‌های اینترنت اشیاء توسط محققان امنیتی به‌خوبی مستند شده است.
اگر چه در حال حاضر این بات‌نت توانایی از بهره‌جویی (Exploit) برای آلوده‌سازی دستگاه‌های آسیب‌پذیر را ندارد، اما قادر به اجرای حملات “سعی و خطا” (Brute-force) برای رخنه به آن دسته از دستگاه‌های اینترنت اشیاء و سرورهای با سیستم عامل Linux که پودمان SSH آنها در معرض اینترنت قرار دارد است.

نسخه فعلی Kaiji تنها حساب کاربری root را هدف قرار می‌دهد. مهیا شدن دسترسی root بر روی دستگاه آلوده، بستر را برای دست‌درازی به بسته‌های خام شبکه‌ای با هدف اجرای حملات DDoS و سایر اعمال مخرب فراهم می‌کند.

به‌طور خلاصه به‌محض دسترسی یافتن به حساب کاربری root، بدافزار Kaiji از آن برای انجام سه اقدام زیر بهره می‌گیرد:
– اجرای حملات DDoS؛
– اجرای حملات سعی‌وخطا بر ضد دستگاه‌های دیگر؛
– سرقت کلیدهای SSH و آلوده‌سازی سایر دستگاه‌هایی که حساب کاربری هک‌شده root پیش‌تر آنها را مدیریت می‌کرده‌است.

علی‌رغم آنکه Kaiji توانایی اجرای شش نوع حمله DDoS را دارد اما به‌نظر می‌رسد که پروژه‌ای در دست اقدام بوده و هنوز نهایی نشده‌است.

در بخش‌های مختلف کد Kaiji، کلمه “demo” به چشم می‌خورد. در برخی مواقع نیز ماژول روت‌کیت Kaiji، آن قدر خود را فراخوانی می‌کند که حافظه دستگاه کاملاً اشغال شده و سیستم از کار می‌افتد.
همچنین سرورهای فرماندهی Kaiji در بسیاری مواقع غیرفعال هستند؛ موضوعی که سبب سرگردانی دستگاه‌های آلوده به این بدافزار شده و حتی به‌صورت بالقوه می‌تواند موجب تسخیر آنها توسط بات‌نت‌های دیگر شود.

Kaiji به آرامی در حال انتشار بوده و در حال حاضر بدافزاری شاخص تلقی نمی‌شود؛ اما با توجه به توسعه‌های مستمر آن در ماه های اخیر انتظار می‌رود که در آینده‌ای نزدیک به تهدیدی جدی تبدیل شود.
باید توجه داشت که دورانی که بات‌نت‌ها ۱۰۰ تا ۵۰۰ هزار دستگاه را تحت سیطره داشتند سپری شده است. تعداد دستگاه‌های در تسخیر بات‌نت‌های حتی پیشرفته و موفق فعلی در دامنه ۱۵ تا ۲۰ هزار مورد است.

به دلیل فراگیری کیت‌های کدباز، هر روز صدها بات‌نت برای آلوده‌سازی مجموعه‌ای واحد از دستگاه‌های اینترنت اشیاء با یکدیگر رقابت می‌کنند. درنتیجه بازار بات‌نت‌های اینترنت اشیاء در بین تعداد بسیار زیادی از بازیگران کوچک‌تر تقسیم شده‌است.

Mozi یکی از بزرگ‌ترین بات‌نت‌های موجود است که بر اساس گزارش زیر ۱۶ هزار دستگاه را ظرف چهار ماه گذشته به خود آلوده کرده‌است.

منبع: مرکز مدیریت راهبردی افتا