Ennennäkemätön haittaohjelma saastuttanut Windows- ja Linux-alustoja – kohteina tietotekniset laitteet ja tietokoneet
Tietoturvayhtiö Lumenin tutkijat löysivät haittaohjelman, joka vaikuttaa niin Linux- kuin Windows-alustoillakin.
Haittaohjelma hyökkää hyvin monipuolisesti molemmilla alustoilla. Se on saastuttanut Linux- ja Windows-tietokoneita sekä esimerkiksi pieniä toimistoreitittimiä, FreeBSD-laitteita ja suuria yrityspalvelimia. Tartuntoja on havaittu eniten Euroopassa.
Lumen-tietoturvayhtiön tutkimusosasto Black Lotus Labs kutsuu haittaohjelmaa nimellä Chaos, ja sitä pidetään botnet-haittaohjelma Kaijin sukulaisena. Chaos havaittiin 16. huhtikuuta, kun sen ensimmäiset ohjauspalvelimet havaittiin verkossa.
Tutkijat löysivät kesäkuun ja heinäkuun välisenä aikana satoja IP-osoitteita, jotka olivat Chaoksen saastuttamia. Tartuttamiseen käytettyjen apupalvelimien määrä on niin ikään lisääntynyt valtavasti viime kuukausina.
Black Lotuksen tutkijat pitävät haittaohjelmaa vaarallisena muutamasta syystä. Se toimii useilla alustoilla mukaan lukien ARM, Intel (i386), MIPS, PowerPC sekä Windows- ja Linux-käyttöjärjestelmät. Toinen vaaratekijä on, että se leviää roskapostittamisen sijaan haavoittuvuuksien, väsytyshyökkäysten sekä varastettujen SSH-avaimien kautta.
Yksi merkittävä Chaoksen hyödyntämä haavoittuvuus on BIG-IP. Tutkijat mainitsivat erikseen muun muassa haavoittuvuudet CVE-2017-17215, CVE-2022-30525 sekä CVE-2022-1388.
Hyökkääjät voivat tehdä monenlaista Chaosin saastuttamassa kohteessa. He voivat tutkia verkkoon kytkettyjen laitteiden luetteloa, käynnistää etäkomentotulkin ja suorittaa komentoja sekä ladata koneelle lisää haittaohjelmia. Black Lotus epäilee, että Chaosia aiotaan hyödyntää ainakin DDoS-hyökkäyksissä sekä kryptovaluutan louhinnassa.
Chaosta vastaan voi yrittää suojautua pitämällä kaikkien tietoteknisten laitteiden päivitykset ajan tasalla. Lisäksi kannattaa käyttää vahvoja salasanoja ja FIDO2-pohjaista, monivaiheista tunnistautumista aina kun mahdollista.
SSH-todennuksessa tulisi käyttää SSH-avainta. Lisäksi reitittimet kannattaa käynnistää uudelleen noin viikon välein, sillä useimmat reitittimien haittaohjelmat eivät kestä uudelleenkäynnistystä.
