Onderzoekers van Fortinet hebben ontdekt dat Linux SSH-servers onder vuur liggen van het nieuwe botnet RapperBot. Het botnet wil met een brute force-aanval op het open source besturingssysteem gebaseerde servers overnemen.

Volgens Fortinet is RapperBot gerelateerd aan de Mirai-malware voor IoT-devices. De RapperBot-malware richt zich op het inbouwen van code die via brute force-technieken de inloggegevens op getroffen IoT-devices moet kraken. Hierdoor krijgt de malware toegang tot de SSH-servers.

Sinds kort voegen de hackers achter RapperBot ook code toe die de malware persistent maakt. Bij meer traditionele Mirai-varianten gebeurt dit niet. Door de malware persistent te maken, zorgen de hackers ervoor dat de malware aanwezig en actief blijft, ook al is het device opnieuw opgestart of nadat de malware is verwijderd.  

Ook anders is dat de nu gevonden malware weinig DDoS-mogelijkheden heeft en strik wordt gecontroleerd in plaats van dat het zich richt op het besmetten van zoveel mogelijk devices. De malware, die dus vooral de SSH-servers aanvalt, lijkt daardoor meer gericht op het vestigen van ‘stepping stones’ voor latere, meer laterale aanvalsbewegingen in netwerken.

SSH 2.0-client is boosdoener

De meeste code van RapperBot beschikt over een implementatie van een SSH 2.0-client. Deze client kan zich verbinden met iedere SSH-server die ‘Diffie-Hellmann key exchange’ met 768-bit or 2048-bit keys en data encryptie op basis van AES128-CTR ondersteunt. De client kan al deze SSH-servers met een brute force-aanval kraken.

Een opvallende eigenschap van deze brute force-implementatie door RapperBot is het gebruik van ‘SSH-2.0-HELLOWORLD’. Hiermee identificeert de malware zich bij de aangevallen SSH-server tijdens de SSH Protocol Exchange-fase.

Langzame verspreiding

Fortinet signaleert dat de Linux SSH-malware zich momenteel langzaamaan verspreidt. In totaal zijn nu wereldwijd 3.500 unieke IP-adressen geïdentificeerd die scannen naar SSH-servers. De securityexperts blijven RapperBot in de gaten houden.

Tip: ‘Nieuwe cyberaanvallen sneller ontwikkeld en verwoestender’