Một mối đe dọa đa nền tảng mới được gọi là NKAbuse đã được phát hiện bằng cách sử dụng giao thức kết nối mạng ngang hàng, phi tập trung được gọi là NKN (viết tắt của New Kind of Network) làm kênh truyền thông.
"Phần mềm độc hại sử dụng công nghệ NKN để trao đổi dữ liệu giữa các đồng nghiệp, hoạt động như một bộ cấy mạnh và được trang bị cả khả năng tràn ngập và cửa hậu", công ty an ninh mạng Kaspersky của Nga cho biết trong một báo cáo hôm thứ Năm.
NKN, có hơn 62.000 nút, được mô tả là một "mạng lớp phủ phần mềm được xây dựng trên Internet ngày nay cho phép người dùng chia sẻ băng thông không sử dụng và kiếm phần thưởng mã thông báo". Nó kết hợp một lớp blockchain trên đầu trang của ngăn xếp TCP / IP hiện có.
Trong khi các tác nhân đe dọa được biết là lợi dụng các giao thức truyền thông mới nổi cho mục đích chỉ huy và kiểm soát (C2) và tránh bị phát hiện, NKAbuse tận dụng công nghệ blockchain để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và hoạt động như một bộ cấy bên trong các hệ thống bị xâm nhập.
Cụ thể, nó sử dụng giao thức để nói chuyện với bot master và nhận / gửi lệnh. Phần mềm độc hại được triển khai bằng ngôn ngữ lập trình Go và bằng chứng chỉ ra rằng nó được sử dụng chủ yếu để chọn ra các hệ thống Linux, bao gồm các thiết bị IoT, ở Colombia, Mexico và Việt Nam.
Hiện tại vẫn chưa biết các cuộc tấn công lan rộng như thế nào, nhưng một trường hợp được Kaspersky xác định đòi hỏi phải khai thác lỗ hổng bảo mật nghiêm trọng sáu năm tuổi trong Apache Struts (CVE-2017-5638, điểm CVSS: 10.0) để vi phạm một công ty tài chính giấu tên.
Khai thác thành công được theo sau bởi việc cung cấp một tập lệnh shell ban đầu chịu trách nhiệm tải xuống cấy ghép từ một máy chủ từ xa, nhưng không phải trước khi kiểm tra hệ điều hành của máy chủ đích. Máy chủ lưu trữ phần mềm độc hại chứa tám phiên bản khác nhau của NKAbuse để hỗ trợ các kiến trúc CPU khác nhau: i386, arm64, arm, amd64, mips, mipsel, mips64 và mips64el.
Một khía cạnh đáng chú ý khác là thiếu cơ chế tự lan truyền, có nghĩa là phần mềm độc hại cần được gửi đến mục tiêu bằng một con đường truy cập ban đầu khác, chẳng hạn như thông qua việc khai thác các lỗ hổng bảo mật.
"NKAbuse sử dụng các công việc cron để tồn tại khi khởi động lại", Kaspersky cho biết. "Để đạt được điều đó, nó cần phải có gốc. Nó kiểm tra rằng ID người dùng hiện tại là 0 và, nếu vậy, tiến hành phân tích cú pháp crontab hiện tại, thêm chính nó cho mỗi lần khởi động lại.
NKAbuse cũng kết hợp một loạt các tính năng backdoor cho phép nó định kỳ gửi tin nhắn nhịp tim đến bot master, chứa thông tin về hệ thống, chụp ảnh màn hình của màn hình hiện tại, thực hiện các thao tác tệp và chạy các lệnh hệ thống.
"Cấy ghép đặc biệt này dường như đã được chế tạo tỉ mỉ để tích hợp vào botnet, nhưng nó có thể thích ứng với chức năng như một cửa hậu trong một máy chủ cụ thể", Kaspersky cho biết. "Hơn nữa, việc sử dụng công nghệ blockchain của nó đảm bảo cả độ tin cậy và ẩn danh, điều này cho thấy tiềm năng cho botnet này mở rộng đều đặn theo thời gian, dường như không có bộ điều khiển trung tâm có thể nhận dạng được."
"Chúng tôi rất ngạc nhiên khi thấy NKN được sử dụng theo cách như vậy", Zheng "Bruce" Li, đồng sáng lập NKN, nói với The Hacker News. "Chúng tôi xây dựng NKN để cung cấp giao tiếp ngang hàng thực sự an toàn, riêng tư, phi tập trung và có thể mở rộng ồ ạt. Chúng tôi đang cố gắng tìm hiểu thêm về báo cáo để xem liệu chúng ta có thể cùng nhau làm cho internet an toàn và trung lập hay không".