Dit Linux-botnet heeft een nieuwe manier gevonden om zich naar nieuwe apparaten te verspreiden

Linux-gebruikers moeten oppassen voor een nieuw peer-to-peer (P2P) botnet dat zich tussen netwerken verspreidt met behulp van gestolen SSH-sleutels en zijn cryptomining-malware in het geheugen van een apparaat uitvoert. 

Het Panchan P2P-botnet werd in maart ontdekt door onderzoekers van Akamai en het bedrijf waarschuwt nu dat het misbruik zou kunnen maken van de samenwerking tussen academische instellingen om zich te verspreiden door ervoor te zorgen dat eerder gestolen SSH-authenticatiesleutels via netwerken worden gedeeld. 

Maar in plaats van intellectueel eigendom van deze onderwijsinstellingen te stelen, gebruikt het Panchan-botnet hun Linux-servers om cryptocurrency te minen. volgens Akamai. 

Het gebruik van de hardware van anderen om cryptocurrency te minen is misschien niet zo lucratief als het ooit was vanwege de crypto-crash die momenteel gaande is, maar Panchan's mijnbouwplatform kost niets voor de onruststokers die het gebruiken. 

Panchan is een cryptojacker die is geschreven in de programmeertaal Go. Cryptojackers misbruiken de rekenkracht van anderen om cryptocurrency te minen. 

Het P2P-protocol van Panchan communiceert in leesbare tekst via TCP, maar kan volgens Akamai de monitoring omzeilen. De malware beschikt over een “godmode”-beheerpaneel, beschermd met een privésleutel, voor het op afstand beheren en distribueren van mining-configuraties.    

"Het beheerderspaneel is in het Japans geschreven, wat verwijst naar de geolocatie van de maker", merkt Steve Kupchik van Akamai op. 

“Het botnet introduceert een unieke (en mogelijk nieuwe) benadering van laterale beweging door het verzamelen van SSH-sleutels. In plaats van alleen brute force- of woordenboekaanvallen op willekeurige IP-adressen te gebruiken, zoals de meeste botnets doen, leest de malware ook de id_rsa- en bekende_hosts-bestanden om bestaande inloggegevens te verzamelen en deze te gebruiken om zich lateraal over het netwerk te verplaatsen.

De auteurs van Panchan zijn blijkbaar fans van de programmeertaal Go, die in 2007 door Google-ingenieurs werd gemaakt. Degene die Panchan schreef, compileerde de malware met behulp van Go-versie 1.18, die Google in maart uitbracht. 

Wat het P2P-netwerk betreft, heeft Akamai 209 peers gevonden, maar slechts 40 daarvan zijn momenteel actief en de meeste bevonden zich in Azië.   

Waarom wordt het onderwijs meer beïnvloed door Panchan? 

Akamai vermoedt dat dit te wijten kan zijn aan een slechte wachtwoordhygiëne, of dat de malware zich met gestolen SSH-sleutels over het netwerk verplaatst. 

“Onderzoekers in verschillende academische instellingen werken mogelijk vaker samen dan werknemers in het bedrijfsleven, en hebben inloggegevens nodig om zich te kunnen authenticeren op machines die zich buiten hun organisatie/netwerk bevinden. Om deze hypothese te versterken, zagen we dat sommige van de betrokken universiteiten uit hetzelfde land kwamen (bijvoorbeeld Spanje) en andere uit dezelfde regio (bijvoorbeeld Taiwan en Hong Kong)”, merkt Kupchik op.

De wormfuncties van de malware zijn afhankelijk van SSH die worden verkregen door te zoeken naar bestaande SSH-sleutels of door eenvoudig te raden of standaard inloggegevens uit te proberen.