Une nouvelle souche de malware IoT, surnommé Kaiji, vient d'être découvert par les chercheurs en sécurité MalwareMustDie et Intezer Labs.
Le nouveau malware IoT est conçu pour cibler les serveurs basés sur Linux et les appareils connectés pour lancer des attaques DDoS, et a été codé par des attaquants chinois.
Kaiji IoT Malware assez différent des autres souches
Selon les chercheurs, Kaiji n'a pas grand-chose à voir avec les autres souches de logiciels malveillants IoT, tel qu'il est écrit dans le langage de programmation Golang. Les deux langages les plus déployés dans la création de tels logiciels malveillants sont C et C ++.
Les logiciels malveillants basés sur la langue Golang sont efficaces mais rares, car il existe une abondance de projets prêts en C et C ++ disponibles sur GitHub et sur les forums dédiés au piratage. Ils facilitent le processus de création botnets IdO, et il y a très peu d'auteurs de logiciels malveillants IoT qui codent à partir de zéro. En vérité, la plupart des botnets IoT sont aujourd'hui grattés à partir de diverses souches existantes.
Kaiji se propage déjà sur Internet
Le malware Kaiji a déjà été vu dans la nature, disent les chercheurs en sécurité. Le malware se propage lentement, affecter de nouveaux appareils et les transformer en zombies. Afin de se propager, Kaiji utilise des techniques d'attaque par force brute, plutôt que d'utiliser des exploits pour infecter des appareils vulnérables. Les serveurs Linux avec un port SSH exposé sont particulièrement à risque.
Il convient de noter que le malware cible spécifiquement le compte root de l'appareil. Ceci est fait pour que les opérateurs de logiciels malveillants puissent manipuler les paquets réseau bruts pour les attaques DDoS. Une fois l'accès root obtenu, Kaiji peut exécuter trois scénarios malveillants – Les attaques DDoS, Attaques par force brute SSH contre d'autres appareils, ou voler des clés SSH locales pour se propager à plus d'appareils que le compte root a déjà géré. Plus précisement, il semble que le malware puisse lancer six différents types d'attaques DDoS.
Malgré ses capacités suffisantes, Kaiji semble être encore en développement, car le code contient la chaîne "demo", et le module rootkit s'appellerait trop de fois, entraînant l'épuisement de la mémoire de l'appareil et un crash.
En outre, Les serveurs de commande et de contrôle de Kaiji semblent instables, se déconnecter et laisser les appareils infectés sans serveur maître. Ces problèmes que le logiciel malveillant rencontre actuellement seront très probablement résolus à l'avenir, et les chercheurs en sécurité continueront de surveiller l’évolution du malware.