Attacco ai server SSH: il malware RapperBot raccoglie l'eredità di Mirai

Il malware Mirai è una delle minacce più conosciute in assoluto e che storicamente hanno fatto più danni. Scoperto nel 2016 è stato utilizzato a più riprese per infettare i dispositivi utilizzati in azienda.
Mirai è stato progettato per aggredire device connessi a Internet, specialmente dispositivi IoT, rendendoli parte di una botnet che può essere usata per condurre attacchi informatici su larga scala, spesso di tipo DDoS (Distributed Denial of Service).

Fortinet accende un faro su RapperBot, un nuovo malware che eredita gran parte delle caratteristiche di Mirai facendole proprie, in questo caso, per attaccare server SSH basati su Linux.

Rispetto a Mirai, infatti, RapperBot ha capacità DDoS limitate e il suo funzionamento sembra orientato a predisporre un accesso iniziale al server, che viene girato agli aggressori. Esso viene probabilmente sfruttato come trampolino di lancio per il movimento laterale all’interno di una rete.
RapperBot si è comunque rivelato un vero e proprio fork di Mirai con il suo sistema command-and-control (C2), caratteristiche uniche e attività post-compromissione atipiche per una botnet.

Nell’ultimo mese e mezzo la botnet che è stata creata a partire dall’azione di RapperBot ha fatto leva su oltre 3.500 IP univoci in tutto il mondo per scansionare e tentare forzare i server SSH Linux con attacchi brute force.

A differenza della maggior parte delle varianti Mirai che prendono di mira server Telnet che usano password predefinite o deboli, RapperBot esegue la scansione della rete e tenta di forzare l’accesso ai server SSH con la forza bruta, si legge nel report condiviso da Fortinet.
“Buona parte del codice malware contiene l’implementazione di un client SSH 2.0 in grado di connettersi e forzare qualsiasi server SSH che supporti lo scambio di chiavi Diffie-Hellmann a 768 o 2048 bit e crittografia AES128-CTR“.

Le varianti più recenti di RapperBot sostituiscono le chiavi SSH sul sistema violato con quelle degli aggressori in modo da massimizzare la persistenza dell’attacco e conservare l’accesso anche dopo la modifica delle password SSH.
RapperBot sfrutta un meccanismo che aggiunge una sua chiave SSH all’interno del file ~/.ssh/authorized_keys: in questo modo è possibile conservare l’accesso da remoto da un riavvio e l’altro del dispositivo o quando il malware dovesse essere rilevato e rimosso.
Viene anche sfruttata un’ulteriore tattica: il malware aggiunge l’utente root suhelper sugli endpoint compromessi e crea un’attività programmata con il comando Cron. In questo modo l’utente root viene automaticamente ricreato e abilitato a cadenza orario nel caso in cui un amministratore dovesse scoprirlo ed eliminarlo.

OpenSSH è lo strumento più utilizzato su piattaforma Linux per attivare una shell amministrativa a distanza. È però possibile usare client e server OpenSSH anche sui sistemi Windows 10 e Windows 11.