in

Botnet Roboto ataca servidores Linux executando o Webmin

A principal função do botnet é a capacidade de realizar ataques DDoS, um recurso que ainda não foi usado.

Botnet Roboto ataca servidores Linux executando o Webmin

Um grupo de criminosos cibernéticos está ‘escravizando’ servidores Linux que executam aplicativos Webmin vulneráveis. De acordo com pesquisadores de segurança, esta é mais uma botnet que está sendo rastreada  e foi chamada de Roboto. Portanto, surge uma nova botnet chamada Roboto que ataca servidores Linux executando o Webmin.

O surgimento da botnet ocorreu há alguns meses e está ligado à divulgação de uma falha de segurança importante em um aplicativo da web instalado em mais de 215.000 servidores. Portanto, esta é a base perfeita para a construção de uma botnet.

Em agosto, a equipe por trás do Webmin, um aplicativo de gerenciamento remoto baseado na Web para sistemas Linux, divulgou e corrigiu uma vulnerabilidade que permitia que os invasores executassem códigos maliciosos com privilégios de root e assumissem versões mais antigas do Webmin.

Devido à fácil exploração da falha de segurança e ao grande número de sistemas vulneráveis, os ataques às instalações do Webmin começaram dias após a divulgação da vulnerabilidade.

Botnet Roboto ataca servidores Linux executando o Webmin

Botnet Roboto ataca servidores Linux executando o Webmin

Em um relatório publicado [chinêsinglês], a equipe Netlab do fornecedor chinês de cibersegurança Qihoo 360 disse que um desses primeiros invasores era uma nova botnet que eles estão rastreando sob o nome de Roboto. Nos últimos três meses, essa rede de bots continuou a direcionar servidores Webmin.

Segundo a equipe de pesquisa, o foco principal da botnet parece ter sido a expansão, com a botnet crescendo em tamanho, mas também na complexidade do código.

Atualmente, o principal recurso da botnet parece ser um recurso DDoS. Por outro lado, enquanto o recurso DDoS está no código, o Netlab diz que nunca viu o botnet conduzir ataques DDoS. Então, os operadores da botnet parecem ter se concentrado, principalmente nos últimos meses, no aumento do tamanho.

Segundo o Netlab, o recurso DDoS pode iniciar ataques por meio de vetores como ICMP, HTTP, TCP e UDP. No entanto, além dos ataques DDoS, o Roboto instalado nos sistemas Linux invadidos (via falha do Webmin) também pode:

  • Funciona como um shell reverso e permite que o invasor execute comandos do shell no host infectado;
  • Colete informações do sistema, processo e rede do servidor infectado;
  • Carregar dados coletados em um servidor remoto;
  • Execute comandos do sistema Linux ();
  • Executar um arquivo baixado de um URL remoto;
  • Desinstalar-se.

OUTRA BOTNET P2P RARA

Nova botnet Roboto surge visando servidores Linux executando o Webmin

Contudo, não há nada de especial nos recursos acima, pois muitos outros botnets de IoT e DDoS vêm com funções semelhantes. Estes são considerados recursos básicos de qualquer infraestrutura moderna de botnet.

O diferencial do Roboto é, no entanto, sua estrutura interna. Os bots são organizados em uma rede ponto a ponto (P2P) e retransmitem os comandos que recebem de um servidor central de comando e controle (C&C), um do outro, em vez de cada bot conectado ao C&C principal.

Para a Netlab, a maioria dos bots são zumbis, comandos de retransmissão, mas alguns também são selecionados para sustentar a rede P2P ou funcionar como scanners para procurar outros sistemas Webmin vulneráveis e expandir ainda mais a botnet.

A estrutura P2P é digna de nota porque as comunicações baseadas em P2P raramente são vistas nas botnets DDoS, e as únicas conhecidas por usar P2P são as botnets Hajime [1, 2, 34] e Hide’N’Seek. Nestes casos, o Brasil sempre aparece como um dos países mais atacados por esses problemas.

Se os operadores do Roboto não desligarem a botnet por conta própria, desativá-la será uma tarefa muito difícil. Os esforços para derrubar a rede de bots do Hajime falharam no passado e, de acordo com uma fonte, a rede de bots ainda está forte, com 40.000 bots infectados em uma média diária e, às vezes, chegando a 95.000.

Se o Roboto atingir esse tamanho ainda precisa ser determinado, mas a botnet não é maior que o Hajime, segundo fontes.

Fonte: ZDNet

Escrito por Claylson Martins

Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão.

6 tendências da tecnologia que estão mudando a maneira como viajamos

6 tendências da tecnologia que estão mudando a maneira como viajamos

Mozilla dobra recompensa a caçadores de bugs

Mozilla dobra recompensa a caçadores de bugs