Ботнет Chalubo охотится на незащищенные IoT-устройства
Chalubo сочетает фрагменты кодов Xor.DDoS и Mirai.
В Сети появился новый ботнет, атакующий слабозащищенные устройства из сферы «Интернета вещей», а также SSH-серверы и системы на базе Linux в целях проведения дальнейших DDoS-атак. Ботнет создан на основе вредоносного ПО Chalubo, сочетающего в себе коды вредоносов Xor.DDoS и Mirai, а также техники обфускации, обычно присущие вредоносным программам, предназначенным для атак на Windows. Аналитики компании Sophos обнаружили несколько версий Chalubo, способных работать на системах с различными архитектурами процессоров (x86, x86_64, MIPS, MIPSEL, PowerPC, 32-, 64-разрядные ARM). Chalubo содержит загрузчик Elknot и командный скрипт на языке Lua, зашифрованные с помощью алгоритма ChaCha. Исследователям удалось проследить атаку на одну из установленных ими «приманок». Наиболее интересной оказалась команда libsdes. При исполнении она создает пустой файл для ограничения выполнения кода одним разом. Затем вредонос сохраняет свои копии в каталоге /usr/bin/, создавая «ветки», которые помогают ему сохранить присутствие на системе после перезагрузки. Код вредоноса содержит фрагменты исходного кода Mirai, но в основном он новый, отмечают исследователи.
Первые атаки ботнета были зафиксированы в конце августа нынешнего года. Как полагают эксперты, операторы Chalubo завершают фазу тестирования и, вполне вероятно, в будущем стоит ожидать более масштабных атак с использованием данного ботнета.