محققان امنیتی اعلام کردند بدافزار جدیدی را شناسایی کردهاند که دستگاههای اینترنت اشیاء ار هدف قرار داده و قصد دارد آنها را به یک باتنت اضافه کند. در ادامه این باتها برای اجرای حملات منع سرویس توزیعشده (DDoS) مورد استفاده قرار میگیرند. این بدافزار Chalubo نام داشته و کدهای آن شامل Xor.DDoS و باتنت معروف Mirai است ولی با این حال بهبودهایی در کد ایجاد شده و قابلیتهای ضد-تحلیل در این بدافزار را ارتقاء داده است. همچنین نویسندگان این بدافزار دو مولفهی مورد نظر را که اسکریپتهای Lua و رمزنگاری ChaCha هستند، رمزنگاری کردهاند.
در اواخر ماه آگوست مشاهده شده بود که مهاجمان از ۳ مولفهی مخرب برای تهدیدات خود استفاده میکردند که شامل دانلودکننده، بات اصلی و اسکریپت فرمان Lua است. این بات بر روی ماشینهایی با معماری x86 اجرا میشود. چند هفته قبل نیز مهاجمان از نصبکنندهی Elknot برای توزیع بدافزار Chalubo استفاده میکردند. همچنین نکتهی قابل توجهی که وجود داشت، نسخههای مختلف از این بدافزار بود که برای هدف قرار دادن سیستمها با معماریهای مختلف طراحی شده بود.
در ماه سپتامبر نیز این بدافزار از طریق اجرای حملهی جستجوی فراگیر بر روی سرورهای SSH توزیع میشد. این مهاجمان با استفاده از گواهینامههای root:admin سعی داشتند سرورها را آلوده کنند. هرچند همانطور که گفته شد، بخشهایی از کد این بدافزار، از بدافزارهای دیگر کپی شده است ولی بخشهای جدیدی نیز در کد وجود دارد که برای اجرای حملهی منع سرویس توزیعشده که از ارسال سیلآسای DNS، UDP و بستههای Syn بهره میبرد.
اسکریپتLua که این بات از آن بهره میبرد برای برقراری ارتباط با سرور دستور و کنترل طراحی شده تا جزئیات ماشین آلوده را ارسال کرده و دستورات بیشتری را از سرور دریافت کند. همانطور که اشاره شد، توزیع این بدافزار با بهرهبرداری از گواهینامههای پیشفرض و ضعیف صورت میگیرد. برای همین به تمام مدیران سیستمها توصیه میشود بر روی سرورهای SSH پسوردهای پیشفرض را به نمونههای قوی و منحصربفرد تغییر دهند.
