نویسنده‌ی LuaBot می‌گوید که بدافزار او خطرناک نیست!

دو هفته پیش یک محقق حوزه امنیت با نام MalwareMustDie با یک تروجان لینوکسی مواجه شد که بنا به گفته‌ی او اولین بدافزار لینوکسی بود که به زبان Lua نوشته شده بود.

آنالیز معکوس کدهای بدافزار، ثابت کرد که این تروجان معماری اینترنت اشیاء را هدف قرار داده است و این قابلیت را دارد که حملات منع سرویس توزیع‌شده را اجرا کند. همچنین دور زدن حفاظت‌های تعبیه‌شده توسط شرکت‌هایی مثل Sucuri و تولیدکننده‌های امنیت وب آمریکا را عملیاتی کند.

در کد منبع LuaBot نویسنده‌ی بدافزار پیامی از خود بجا گذاشته است با این محتوا: «سلام. بررسی‌های معکوس خوبی داشته باشید! شما می‌توانید به من ایمیل بزنید.» و آدرس ایمیل خود را نوشته است.

نویسنده‌ی LoaBot به تعدادی سوال پاسخ داده است!

یک محقق امنیت فرانسوی با نام x۰rz با نویسنده‌ی بدافزار ارتباط برقرار کرده و از او سوالاتی را پرسیده است. این پاسخ‌ها بطور برخط منتشر شده است.

در این مصاحبه‌ی کوتاه، مهاجم گفته که برای انجمن infosec کار نمی‌کند و همچنین کارمند وابسته به هیچ گروه مجرم در فضای مجازی نیست.

او خودش را «هیچ‌کس» معرفی کرده و گفته است که بدافزار او خطرناک نیست. او مبنای این ارزیابی را عملکرد بدافزار خود عنوان می‌کند بطوری‌که این بدافزار اعتبارنامه‌های ورود مسیریاب‌ها را به سرقت نمی‌برد.

نویسنده‌ی LuaBot می‌گوید که این بدافزار برای حملات منع سرویس توزیع‌شده بکار نمی‌رود!

نویسنده‌ی LuaBot می‌گوید که سال‌ها بر روی این بدافزار کار کرده است و چیزی که ابتدا برای سرگرمی شروع شده بود الان تبدیل به منبع سود شده است.

او از گفتن فعالیتی که این بدافزار برای او سودآوری می‎کند، امتناع کرده است ولی می‌گوید که این بدافزار هیچ سرویس منع سرویس توزیع‌شده‌ای را همانند vDos kids ارائه نمی‌دهد. علاوه بر این او عنوان کرد که با اشخاص خصوصی کار می‌کند و توسط بانک‌ها یا دولت تامین نمی‌شود.

آنالیزها چیزهای جالبی را فاش می‌کند.

این مهاجم عنوان می‌کند که روز-صفرم مخصوص به خود را دارد که از آن برای آلوده کردن تجهیزات استفاده می‌کند. یک محقق امنیتی برزیلی که بدافزار را دیده است، می‌گوید به نظر می‌رسد که این کد، مسیریاب‌های ARRIS را هدف قرار داده است. این همان محققی است که سال پیش نیز ۳ درب پشتی را در مسیریاب‌های ARRIS افشاء کرد که ۶۰۰ هزار مودم متصل برخط را تحت تاثیر قرار می‌داد.

برناردو رودریگز، محقق برزیلی عنوان می‌کند: «اگر همین امروز پرس‌وجوهای یکسانی انجام شود، ما شاهد خواهیم بود که تعداد تجهیزات در معرض خطر به تقریبا ۳۵۰۰۰ کاهش یافته است.»

این محقق همچنین عنوان می‌کند که در وهله‌ی اول آلوده‌شدن به این بدافزار، LuaBot از قواعد دیواره‌ی آتش برای مسدود کردن دسترسی‌ از ارتباطات خارجی استفاده می‌کند که این یک ویژگی خود-محافظتی صریح است.

با این وجود، این بدافزار ساز و کار پایداری از طریق بوت را ندارد و آغاز به کار مجدد مسیریاب، این بدافزار را از آن وسیله حذف می‌کند.

در زمان نگارش این خبر، هیچ حمله‌ای گزارش نشده است که مستعد آلودگی به این بدافزار باشد و برخلاف وجود عملیات سیل‌آسای HTTP برای حملات منع سرویس توزیع‌شده، این بدافزار و اهداف آن به صورت یک راز باقی مانده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.