[su_heading]Ένα νέο trojan, με την ονομασία Linux.lady, έχει αναφερθεί από τη ρωσική εταιρεία anti-virus Dr. Web. Το επικίνδυνο αυτό malware επιτίθεται σε επισφαλείς εξυπηρετητές Redis, και τους μετατρέπει σε μηχανές εξόρυξης bitcoin προς όφελος των επιτιθέμενων. To Linux.lady trojan εξαπλώνεται μόνο του, μολύνοντας και άλλους υπολογιστές στο δίκτυο.[/su_heading]

Σύμφωνα με τους ερευνητές το εξελιγμένο trojan στοχεύει Linux servers που τρέχουν σε σύστημα βάσης δεδομένων NoSQL, Redis. Λόγω των μην ασφαλών διαμορφώσεων των ρυθμίσεων από τους administrators των συστημάτων και λόγω της γενικότερης έλλειψης ασφάλειας τoυ Redis, περισσότεροι από 30.000 servers έχουν γίνει ευάλωτοι σε επιθέσεις. Το κακόβουλο λογισμικό μετατρέπει τους διακομιστές αυτούς σε “ανθρακωρύχους” Bitcoin.

Το κακόβουλο λογισμικό ανακαλυφθήκε πρόσφατα από ερευνητές της Dr. Web, και είναι πολύ ενδιαφέρον το γεγονός ότι είναι γραμμένο στη γλώσσα προγραμματισμού Go της Google και βασίζεται στις open source βιβλιοθήκες της Go που φιλοξενούνται στο GitHub.

Για όσους δεν γνωρίζουν, το Redis είναι ένα σύστημα βάσης δεδομένων NoSQL που χρησιμοποιείται για την αποθήκευση δεδομένων σε μορφή κλειδιού-τιμής.

 

Πώς λειτουργεί το Linux.lady;

Μετά την αρχική μόλυνση, το Linux.lady χρησιμοποιεί ένα άλλο trojan που ονομάζεται Linux.Downloader.196 για να κατεβάσετε το κύριο αρχείο μόλυνσης (payload). Μόλις εγκατασταθεί, το Linux.Lady υποκλέπτει πληροφορίες σχετικά με τον παραβιασμένο server και τις αποστέλλει στον διακομιστή C & C (διοίκησης και ελέγχου) μέσω SSH.

Μεταξύ των πληροφοριών αυτών περιλαμβάνονται η έκδοση του Trojan, ο αριθμός των CPUs, το
όνομα του κεντρικού υπολογιστή (Ηost), τον αριθμό των ενεργών διεργασιών, το όνομα του λειτουργικού συστήματος, το uptime του host.

Χρησιμοποιώντας τις πληροφορίες αυτές και τον αριθμό των CPUs, ένα αρχείο configuration αποστέλλεται από τον C & C εξυπηρετητή που ξεκινά τη διαδικασία εξόρυξης bitcoin στον μολυσμένο υπολογιστή. Όντας ένα αυτο-πολλαπλασιαστικό malware, το Linux.lady έχει τη δύναμη να μολύνει και άλλους υπολογιστές στο δίκτυο.

Είναι ενδιαφέρον να σημειωθεί ότι ενώ το Linux.lady στοχεύει συστήματα Linux, δεν εκμεταλλεύεται κανένα κενό ασφάλεια των Linux. Κατά το τελευταίο διάστημα, η κακή ασφάλεια των βάσεων δεδομένων Redis έχει επικριθεί επανειλημμένα σε διάφορες εκθέσεις ασφαλείας.