Специалисты компании ESET обнаружили новое семейство вредоносов Rakos, которое атакует IoT-устройства и серверы, работающие под управлением Linux. Как и в других похожих случаях, Rakos брутфорсит устройства через SSH, пытаясь подобрать логин и пароль (Mirai работает схожим образом, только действует через Telnet). Если заражение прошло успешно, устройство становится частью ботнета Rakos, который пока не делает ничего, лишь заражает все новые девайсы.
По данным исследователей, первые случаи заражения Rakos были зафиксированы в августе 2016 года. Проанализировав различные образцы вредоноса, обнаруженные пользователями, исследователи установили, что малварь создает на зараженных устройствах временные папки с именами .javaxxx, .swap и kworker.
Пока Rakos обладает весьма ограниченной функциональностью. Первое, что делает малварь, после заражения устройства, — обращается к управляющему серверу и запрашивает у него файл конфигурации. В файле, в числе прочего, содержится информация об адресах дополнительных управляющих серверов, а также список логинов и паролей, которые нужно использовать для брутфорса.
Затем Rakos поднимает на зараженном устройстве локальный HTTP-сервер http://127.0.0.1:61314. Это позволяет будущим версиям бота «убить» любые запущенные копии через http://127.0.0.1:61314/et. К тому же через http://127.0.0.1:61314/ex вредонос пытается парсить URL query (параметры ip, u, p). В дополнение к этому Rakos создает и веб-сервер. В ранних версиях прослушивался TCP-порт 13666, но теперь вредонос выбивает случайный порт в диапазоне от 20 000 до 60 000.
Основной функцией Rakos пока является заражение других устройств посредством SSH. IP-адреса малварь получает с управляющего сервера, и их список постоянно обновляется. Предыдущие версии Rakos также атаковали SMTP, но в более свежих образцах эта функция уже отключена. Также исследователи отмечают, что Rakos, по сути, может выступать в роли бэкдора, так как он передает на управляющий сервер исчерпывающие данные о зараженном устройстве, включая IP-адрес, юзернейм и пароль.
По данным ESET, пока ботнет не используется для DDoS-атак или рассылки спама, но авторы малвари могут добавить эти функции в любое время. Хотя простая перезагрузка устройства помогает ликвидировать заражение, специалисты предупреждают, что устройство со слабым SSH-паролем будет заражено повторно в течение нескольких минут.