Aiemmin tuntematon mato hyökkäilee parhaillaan – louhii kryptovaluuttaa erilaisilla verkkolaitteilla

Erilaiset Linux-pohjaiset laitteet ovat olleet aiemmin tuntemattoman madon hyökkäyksen kohteena jo osapuilleen vuoden ajan.

Mato on sittemmin paljastunut botnet-haittaohjelma Mirain johdannaiseksi, sillä se on muokattu versio vuonna 2016 löydetystä Miraista. Kyseinen uusi johdannainen saastuttaa parhaillaan Linux-palvelimia, reitittimiä, nettikameroita ja muita verkkoon kytkettyjä laitteita.

Akamain tietoturvatutkijat ovat nimenneet madon NoaBotiksi. Se leviää heikosti suojattujen SSH-yhteyksien kautta.

Päästessään sisään kohteeseen, se asentaa kryptovaluutan louhintaan käytetyn sovelluksen. Sen jälkeen hyökkääjä pääsee nauttimaan virtuaalivaluutan kertymisestä uhrin resurssien kustannuksella. NoaBotin on todettu joskus asentavan myös P2PInfect-haittaohjelman.

Akamain mukaan NoaBot itsessään ei ole mitenkään erityisen kehittynyt mato. Sen sijaan hyökkääjät siirtävät varat kryptolompakoihin kehittyneellä tavalla, joka suojaa hyökkääjien paljastumista.

Tyypillisesti siirrot on tehty yksinkertaisempaan tapaan komentokehotteilla, mutta NoaBot-hyökkääjät käyttävät lisäapuna louhintasovelluksen lähdekoodiin tehtyjä muokkauksia ja salauksia. Niiden avulla kryptolompakon osoitteen voi piilottaa.

Akamai on julkaissut laajan indikaattorikirjaston, jonka avulla käyttäjät voivat tarkistaa, onko heidän laitteissaan merkkejä NoaBotista. Linkki sisältää valmiiksi konfiguroidun Akamai Infection Monkey -työkalun, jolla voi testata verkkoja saastumisen varalta.