Bilde fra UMassAmherst
Linux-systemer har vært angrepet av forskjellige typer malware og ormer tidligere, inkludert den berømte Mirai som bokstavelig talt betyr japansk fremtid. Mirai ble utviklet av tre amerikanske studenter og ble ansett som dødelig for Linux. Bare nylig strever en ny slags orm rundt og kryper gradvis inn på systemene til Linux, og blir ansett som ganske aggressiv av malwareeksperter. Selv om informasjonen og fakta rundt dette nye tilskuddet til Linux ormfamilie fremdeles er uklare, har det kommet noen autentiske nyheter fra en Twitter-bruker.
I følge twitterbrukeren @VessOnSecurity (en ekspert på antivirus, skadelig programvare og infosec), har det blitt oppdaget en ny orm eller skadelig programvare på Linux-systemene.
Linken til tweetet hans kan nås her:
Fortsatt ingen anelse om hva dette er, men det sprer seg veldig aggressivt: https://t.co/jrRg5aXxSt
Angrepsmønsteret er vagt Mirai-aktig, men det er IKKE Mirai. Den kjørbare filen er fullpakket, kommandoene er ganske polymorfe.
- Vess (@VessOnSecurity) 30. juni 2018
Han hevder at det er lite kjent om hva det egentlig er, men det ser ut til å spre seg ganske aggressivt på Linux. Angrepsmønsteret synes etter hans mening å være Mirai-aktig der et botnet kan hekke på over 500 000 Linux IoT-systemer, men det er absolutt ikke Marai denne gangen da opplastningene i denne ormen kommer fra tusenvis av forskjellige IP-er i stedet for fra en få arkiver som det var tilfelle med Mirai. Hans tweet hevder: 'Den kjørbare filen er fullpakket, kommandoene er ganske polymorfe.' Den spesifikke kjørbare filen han nevner ser ut til å eksistere i en uke og blir lagt merke til ganske mye, men den opprinnelige skadelige programvaren er eldre og forvandler koden regelmessig.
Bilde tatt fra BornCity
@VessOnSecurity gikk videre til del et kart som vises land SSH Honeypot og Telnet bruker oftest. USA har som forventet topplasseringen. Kartet viser uvanlig stort antall unike URL-er og IP-er som tilskrives den Mirai-lignende ormen som kryper på Linux-systemene.
Månedlig sammendrag av resultatene fra vår Telnet & SSH honningpotte.
Først det store bildet. Som vanlig har USA topplasseringen.
Legg merke til det uvanlig store antallet unike IP-adresser og URL-er. Årsaken er den Mirai-lignende ormen jeg nevnte her om dagen. pic.twitter.com/C5mOJTPhJp
- Vess (@VessOnSecurity) 30. juni 2018
Dette betyr at de angripende systemene hovedsakelig er lokalisert i USA, men andre land som Nederland, Frankrike, Italia, England, Hellas, Irland, Polen, Tyskland og Romania skal også klandres.
Mer informasjon om ormen, måldybden og aggressiviteten til ormen forventes å frigjøres en stund snart.
Merker Linux skadevare
