Ботнет Rakos начал атаковать IoT-устройства

Группа исследователей ESET сообщают, что появился новый ботнет созданный из IoT-устройств и Linux-серверов, они все инфицированны новым вредоносом Rakos. Угрозу совсем недавно обнаружили и по словам экспертов, в пока она является малоопасной.

В данный период преступники занимаются комплектацией своей армии, они брутфорсят IoT-устройства, заражают вредоносом и пополняют ряды войск. По факту же заражённый вредоносом гаджет продолжает рассылать вредонос по сети, продолжася увеличивать мощь ботнета. На этом пока всё, ни одного свидетельсва активности ботнета не обнаружено, ни рассылок спама ни DDoS-атак. Но исследователи предполагают, что это пока.

Rakos в своей нынешней версии выполняет лишь оргианиченное число операций, он может инфицировать устройство, устанавливать соедение с сервером, получать файл со списком логинов и паролей. Вредонос запрашивает у сервера IP-адрес, а затем пытается авторизироваться с помощью учётных данных. Всем хорошо известный вредонос Mirai работает точно так же, только использует вместо SSH протокол Telnet.

Как только Rakos сумел авторизироваться, он загружает свой код на новый хост, потом загружает и запускает локлаьный web-сервер, используя порт 61314. Через определённые промежутки времени вредонос отправляет на сервер данные о хосте, его архитектуру, процессор, номер версии, IP-адрес и прочие.

Сервер может в любой момент отправить боту обновления с новым функционалом. На данный момент Rakos не является пермаментным и удаляется после перезагрузки системы. Но если устройство незащищено паролем, то через несколько минут оно снова будет заражено.