Onderzoekers van Darktrace hebben een botnet ontdekt dat zich richt op embedded Linux IoT-apparaten. Dit botnet heeft de naam “PumaBot” gekregen. De malware scant omgevingen op de aanwezigheid van Pumatronix, een Braziliaanse fabrikant van bewakings- en verkeerscamerasystemen. PumaBot illustreert een zorgwekkende trend waarin cybercriminelen steeds gerichtere campagnes opzetten om IoT-apparaten en accounts te compromitteren. Met als gevolg mogelijk enorme maatschappelijke chaos als aanvallers daadwerkelijk weten binnen te komen in bijvoorbeeld verkeerssystemen.
In tegenstelling tot typische botnets die het hele internet scannen, haalt deze malware een lijst met doelwitten op van een command-and-control (C2)-server. Vervolgens probeert deze met brute force-aanvallen inloggegevens te kraken. Zodra het een geldige login identificeert, logt het in, implementeert het zichzelf en start het replicatieproces.
Zodra de malware het netwerk heeft gekraakt, vermomt het zich als legitieme software om detectie te voorkomen terwijl het zich verspreidt naar nieuwe doelwitten. Dit doet het bijvoorbeeld door verschillende fingerprintcontroles uit te voeren. Bij dit soort controles worden gegevens over de omgeving van een gebruiker verzameld en geanalyseerd om een uniek profiel of ‘vingerafdruk’ te creëren. Deze vingerafdruk kan onder meer gebruikt worden voor het verifiëren van de identiteit van de gebruiker. De informatie uit deze fingerprintcontroles wordt vervolgens gebruikt om honeypots - een valstrik waar aanvallers naartoe geleid worden - en ongeschikte uitvoeringsomgevingen te vermijden. Daarnaast creëren aanvallers verschillende backdoors waardoor hun activiteit nog lastiger geïdentificeerd kan worden. Dit wijst op een doelbewuste campagne voor langdurige toegang tot deze systemen die de openbare veiligheid kunnen beïnvloeden.
Dit botnet vertegenwoordigt een aanhoudende Secure Shell (SSH)-dreiging die gebruikmaakt van automatisering, brute force-aanvallen en native Linux-tools om controle te krijgen en te behouden over gecompromitteerde systemen. Daarnaast kan het detectie effectief omzeilen door legitieme binaire bestanden na te bootsen en fingerprinting-logica in te bouwen.
Hoewel PumaBot zich niet automatisch lijkt te verspreiden zoals een traditionele worm, vertoont het wel wormachtig gedrag omdat de malware zichzelf wel repliceert en als doel heeft meerdere apparaten te compromitteren. Dit wijst op een semi-geautomatiseerde botnetcampagne gericht op het compromitteren van apparaten en toegang op de lange termijn.