Κωδικοί Brute-Forces Linux Bruce-Forces Group με βάση τη Ρουμανία

Μια συμμορία χάκερ που επικεντρώθηκε στην κρυπτογράφηση και πιστεύεται ότι λειτουργεί έξω από τη Ρουμανία χρησιμοποιεί ένα ολοκαίνουργιο εργαλείο χάραξης κωδικού πρόσβασης και επιτίθεται σε συστήματα που βασίζονται σε Linux Το εργαλείο της ομάδας ονομάζεται Diicot Brute και δεν έχει συναντηθεί ποτέ από ερευνητές ασφαλείας.

Το εργαλείο Diicot Brute είναι ένας brute-forcer SSH που προσπαθεί να σπάσει τους αδύναμους, κακώς κατασκευασμένους κωδικούς πρόσβασης σε μηχανές Linux. Μόλις οι εισβολείς κερδίσουν είσοδο, αναπτύσσουν ένα cryptominer που λειτουργεί με το κρυπτογράφηση Monero.

Η πρακτική του cryptojacking δεν είναι ιδιαίτερα νέα. Οι χάκερ χρησιμοποιούν κακόβουλα εργαλεία που επικεντρώνονται στην κρυπτογράφηση για να αποκτήσουν παράνομο κέρδος εδώ και χρόνια. Το Cryptojacking αναφέρεται σε κακούς ηθοποιούς που αναπτύσσουν κρυφά ένα κακόβουλο εργαλείο κρυπτογράφησης στο μηχάνημα του θύματος και στη συνέχεια χρησιμοποιούν το υλικό του θύματος και προέρχονται από το νόμισμα που πηγαίνει στο πορτοφόλι του χάκερ.

Φυσικά, η χρήση του υλικού κάποιου άλλου είναι πολύ φθηνότερη από τη δημιουργία ενός αποκλειστικού κέντρου κρυπτογράφησης και την πληρωμή υπερβολικών λογαριασμών ηλεκτρικής ενέργειας, έτσι οι επιχειρηματικοί χάκερ αναζητούν πάντα εύκολα χρήματα χρησιμοποιώντας τους υπολογιστές του θύματος τους.

Σύμφωνα με τους ερευνητές, το εργαλείο Diicot Brute ισχυρίζεται ότι έχει την ικανότητα να ανιχνεύει και να αποφεύγει τα hotbeds. Κρίνοντας από το γεγονός ότι πιάστηκε σε ένα τέτοιο περιβάλλον δοκιμών, φαίνεται να δείχνει ότι η Diicot έχει ακόμη κάποια δουλειά.

Η σύνδεση του cryptomalware με τη Ρουμανία προέρχεται από τη διασύνδεσή της - το Diicot Brute διαθέτει μια διεπαφή που παρουσιάζεται εν μέρει στα Ρουμανικά, μερικά στα Αγγλικά.

Οι χάκερ χρησιμοποιούν επίσης το Discord για την αναφορά πληροφοριών σε αυτούς. Αυτό είναι ένα όλο και πιο συχνό φαινόμενο, με αρκετές άλλες καμπάνιες κακόβουλου λογισμικού τους τελευταίους μήνες να χρησιμοποιούν την υποδομή του Discord για να βοηθήσουν παράνομες δραστηριότητες.

Ο τρόπος με τον οποίο λειτουργεί το κακόβουλο λογισμικό, εισπνέει πρώτα διακομιστές SSH χρησιμοποιώντας σάρωση θύρας. Επόμενο είναι το πραγματικό βήμα ωμής βίας, που εκτελείται έως ότου βρεθούν έγκυρα διαπιστευτήρια. Τέλος, το κακόβουλο λογισμικό συνδέεται χρησιμοποιώντας τα σπασμένα διαπιστευτήρια χρησιμοποιώντας SSH και στη συνέχεια αναπτύσσει το ωφέλιμο φορτίο κρυπτογράφησης.

Η αποθαρρυντική ουσία από την έκθεση ασφαλείας για τους Ρουμάνους χάκερ είναι ότι ο λόγος για τον οποίο λειτουργεί το εργαλείο τους είναι απλώς "άνθρωποι". Παρόλο που η κοινότητα του Linux είναι διάσημη για την ιδεοψυχαναγκαστική συμπεριφορά της όσον αφορά την ασφάλεια, υπάρχουν προφανώς ακόμη πολλοί αδύναμοι κωδικοί πρόσβασης που επιτρέπουν τη λειτουργία παρόμοιων brute force kit.