نوع جدیدی از بدافزار مشغول هدف گرفتن سرورهای لینوکس و تجهیزات اینترنت اشیاء و افزودن آنها به یک شبکه بات‌نت است. به نظر می‌رسد این بدافزار بخشی از کمپینی باشد که زیرساخت‌های محاسبات ابری را مورد حمله قرار می‌دهد، هرچند هدف این حملات هنوز مشخص نیست.

پژوهشگران آزمایشگاه تهدیدات جونیپر این بدافزار را کشف کرده و آن را گیت پیست 12 (Gitpaste-12) نام گذاشته‌اند. علت این نام‌گذاری این است که سازندگان بدافزار از گیت‌هاب و پیست‌بین (Pastebin) برای میزبانی ماژول‌های بدافزار استفاده می‌کنند و بدافزار 12 روش مختلف برای نفوذ به اهداف خود دارد. اهدافی که این بات‌نت مورد حمله قرار می‌دهد عبارت اند از سرورهای لینوکسی x86 و تجهیزات اینترنت اشیاء مبتنی بر معماری‌های ARM و MIPS.

این سلاح‌های 12 گانه تشکیل شده‌اند از 11 آسیب‌پذیری شناخته شده به علاوه حملات آزمون جامع روی نام کاربری و گذرواژه. این 11 آسیب‌پذیری در مسیریاب‌های ایسوس، هواوی، نت‌لینک و محصولات MongoDB، Apache Struts و… وجود دارند. بدافزار پس از نفوذ به سیستم، کدهایی را از گیت‌هاب و پیست‌بین دانلود و اجرا می‌کند.

بدافزار سعی می‌کند ابزارهای دفاعی مثل دیوارهای آتش و نرم‌افزارهای رصد را غیرفعال کند تا نتوانند به آن واکنش نشان دهند. این بدافزار همچنین شامل دستوراتی است که سرویس‌های امنیتی فراهم‌کنندگان بزرگ زیرساخت چین، مثل Alibaba Cloud و Tencent را غیرفعال می‌کنند. این امر به وضوح نشان می‌دهد که سازندگان بدافزار قصد دارند زیرساخت‌های رایانش ابری عمومی این دو فراهم‌کننده را هدف قرار دهند.

گیت پیست 12 در حال حاضر قابلیت ارزکاوی را دارد، یعنی مهاجمان می‌توانند از توان محاسباتی سیستم قربانی برای استخراج ارز مونرو سوء استفاده کنند. بات‌نت همچنین می‌تواند به شکل کرم عمل کند، یعنی از ماشین‌های قربانی برای اجرای اسکریپت روی سایر ماشین‌های آسیب‌پذیر شبکه یا شبکه‌های مجاور استفاده کند تا بدافزار را پخش کند.

در پست وبلاگی جونیپر آمده است: «هیچ بدافزاری خوب نیست، اما کرم‌ها به طور خاص آزاردهنده هستند. توانایی کرم‌ها در پخش شدن اتوماتیک می‌تواند منجر به گسترش عرضی در یک سازمان شود یا باعث شود هاست‌های شما برای آلوده کردن سایر شبکه‌ها در اینترنت تلاش کنند».

پس از آنکه جونیپر موضوع را گزارش داد، مخزن گیت‌هاب و URL متعلق به پیست‌بین که دستورات بدافزار را فراهم می‌کردند بسته شدند. انتظار می‌رود این اتفاق فعلاً جلو تکثیر بدافزار را بگیرد. با این وجود، محققین به این نکته نیز اشاره کردند که گیت پیست 12 در حال توسعه است و ممکن است خطر آن مجدداً بروز کند.

به هر حال می‌توان با اعمال وصله‌های امنیتی، آسیب‌پذیری‌های مورد سوء استفاده این بات‌نت را برطرف کرده و مانع گسترش آن شد. همچنین کاربران باید از تعیین گذرواژه پیش‌فرض یا ضعیف برای تجهیزات اینترنت اشیاء خودداری کنند تا از حملات آزمون جامع در امان بمانند.