חוקרי אבטחת מידע באקמאי ישראל חשפו היום את Panchan, נוזקה עם יכולות תקשורת מבוזרת (Peer to peer או "עמית לעמית") ותולעת SSH, אשר תוקפת מחשבי לינוקס. הנוזקה כתובה בשפת Go, ומנצלת את היכולות המובנות בשפה להרצה מקבילית של המודולים השונים של הנוזקה, ביניהם תולעת ה-SSH.

בנוסף למתקפת ניחוש סיסמאות בסיסית, אשר מאפשרת לנוזקה להתפרץ לשרתי לינוקס מרוחקים ולהדביק אותם, הנוזקה כוללת גם יכולת לגניבת מפתחות SSH מנדבקים, ושימוש בהם לצורך הדבקה של עמדות שכנות. חוקרי אבטחת המידע באקמאי הצליחו להתחבר לרשת התקשורת של הבוטנט, וכן לממשק הניהול של הנוזקה, וחקרו דרכה את היקף התפוצה של הנוזקה.

מלבד שרתים וירטואליים הרשומים תחת חברות ענן או מחשוב פרטי, האפיק הנתקף ביותר הוא מוסדות אקדמיים. באקמאי משערים ששיתופי פעולה אקדמיים בין מוסדות שונים יכולים להגדיל את כמות מפתחות ה-SSH המשותפים בין עמדות, ביחס לרשתות של תעשיות אחרות.

סטיב קופצ'יק, חוקר אבטחת מידע בכיר באקמאי, מסר שכדי להסתיר את פעילותה, הנוזקה מחלצת ומריצה כורים של מטבעות וירטואליים (cryptominers) מהזיכרון בלבד, כך שאין ראייה הנשארת על הדיסק הקשיח. כמו כן, פעילות הכריה מופסקת בעת זיהוי של תהליכי ניטור ביצועים, כדי לייצר מצג שווא של עמדה נקייה. 

בהסתמך על מיקומם הגאוגרפי של רבים מהנתקפים, שפת ממשק הניהול של הנוזקה, ולפי פעילות שרת Discord אשר מקושר לנוזקה, ההשערה היא שיוצרי הנוזקה הינם יפניים. מרבית הארגונים שהותקפו הם באסיה, לרבות בערב הסעודית ובאיחוד האמירויות ותקיפות נוספות התרחשו באירופה ובאמריקה. הסכנה במתקפה מסוג זה, מעבר לצריכת משאבי המיחשוב וההאטה שלהם, היא שהתוקפים יחליטו להשתמש בפרצה שיצרו לצורך דרישות כופר או השמדת מידע.

עוד ב-

האקרים איראנים פרצו למייל של ציפי ליבני, צפו בהתכתבויות

לכתבה המלאה

פתרון ה-MFA של אקאמאי יכול לספק הגנה מפני שיטת גניבת מפתחות ה-SSH של הנוזקה. כמו כן, הגדרת סיסמאות חזקות יספקו הגנה מפני מתקפת ניחוש הסיסמאות של הנוזקה, אשר משתמשת ברשימה בסיסית מאוד של סיסמאות. אנשי אקמאי פרסמו מזהים וחתימות לנוזקה אשר יכולים לסייע בזיהוי.