Το Bitxor20 Botnet κάνει κατάχρηση της ευπάθειας Log4J

Η ευπάθεια Log4J έχει επιτρέψει σε δεκάδες εγκληματίες του κυβερνοχώρου να επεκτείνουν γρήγορα την εμβέλειά τους και να ενισχύσουν την αποτελεσματικότητα των επιθέσεών τους. Μία από τις οικογένειες κακόβουλου λογισμικού που πέταξαν κάτω από το ραντάρ μέχρι στιγμής, ήταν το Bitxor20 Botnet. Αυτό το κακόβουλο λογισμικό είναι συμβατό με συσκευές που χρησιμοποιούν την αρχιτεκτονική Linux ARM. Οι εγκληματίες πίσω από το Bitxor20 Botnet μπορεί να ήταν ενεργοί για σχεδόν δύο μήνες και κατά τη διάρκεια αυτής της περιόδου το ωφέλιμο φορτίο τους έχει υποστεί πολλές βελτιώσεις.

Τι μπορεί να κάνει το Bitxor20 Botnet;

Το botnet εξειδικεύεται στην εξαγωγή ευαίσθητων δεδομένων από μολυσμένα συστήματα, στην ανάπτυξη rootkit και στη μετατροπή των μολυσμένων δικτύων σε διακομιστές μεσολάβησης. Η λειτουργικότητα του rootkit είναι σίγουρα μια ενδιαφέρουσα προσέγγιση, καθώς θα έκανε την ανακάλυψη και την αφαίρεση του Bitxor20 Botnet πολύ πιο δύσκολη. Επιπλέον, δεν υπάρχουν πολλά rootkits συμβατά με συστήματα Linux.

Ένα άλλο ωραίο πλεονέκτημα του Bitxor20 Botnet είναι η ικανότητά του να μεταφέρει δεδομένα μεταξύ του θύματος και του διακομιστή Command-and-Control μέσω του πρωτοκόλλου DNS. Αν και αυτό περιορίζει τον όγκο των πληροφοριών που μπορεί να μεταφέρει, επιτρέπει στους εγκληματίες να αποκρύψουν εύκολα την κακόβουλη κίνηση με μια νόμιμη. Επιπλέον, οι υπηρεσίες τείχους προστασίας τείνουν να είναι πολύ πιο χαλαρές όταν πρόκειται για το φιλτράρισμα των αιτημάτων DNS – δίνοντας στο Bitxor20 Botnet ένα πλεονέκτημα όταν πρόκειται για παράκαμψη άμυνας τείχους προστασίας.

Ενώ τα περισσότερα botnet που εκμεταλλεύονται την ευπάθεια Log4J ειδικεύονται σε επιθέσεις Distributed-Denial-of-Service (DDoS) ή εξόρυξη κρυπτονομισμάτων, το Bitxor20 Botnet έχει το βλέμμα του αλλού. Περιττό να πούμε ότι είναι μια εξαιρετικά επικίνδυνη απειλή που πρέπει να σταματήσει με κάθε κόστος. Η χρήση ενημερωμένων εργαλείων ασφαλείας και τείχους προστασίας Linux, καθώς και η εφαρμογή των πιο πρόσφατων ενημερώσεων υλικολογισμικού και ενημερώσεων κώδικα λογισμικού είναι ένας πολύ καλός τρόπος για τον μετριασμό των επιθέσεων κακόβουλου λογισμικού αυτού του είδους.