Az ESET biztonságtechnológiai cég kutatói a Linuxos rendszereket támadó Kaiten nevű kártevő új, továbbfejlesztett változatát fedezték fel. Ez az IRC (Internet Relay Chat) vezérelt hátsóajtó program, a megfertőzött számítógépeket botnet hálózatba kapcsolja, majd azokat elosztott szolgáltatásmegtagadással járó támadások (Distributed Denial of Service, DDoS) végrehajtásához használja fel.
A továbbfejlesztett „KTN-Remastered” vagy „KTN-RM” verziót a Linux/Remaiten három verziójával együtt azonosították az ESET szakemberei. A vizsgálatok alapján a kártevő legfőbb jellemzője az újfajta terjedési mechanizmusa.
A Linux/Gafgyt kártevő telnet szkennelésére épülő KTN-RM downloader futtatható bináris fájlokat tartalmaz az olyan beépülő platformokra, mint például routerek, vagy más beágyazott kódokat kezelő hálózatba kötött eszközök. A kártevő ezzel a szokatlan terjedési mechanizmussal elsősorban a gyenge bejelentkezési adatokkal rendelkező eszközöket képes sikeresen megtámadni.
„A letöltő program feladata a Linux/Remaiten bot letöltése a Command & Control szerverről az éppen aktuális architektúrára. Futása során azonban létrehoz egy másik botot is, amelyet a távoli támadók fognak használni. Korábban a Linux/Moose kártevő esetében láttuk már ugyanezt a terjedést segítő technikát” – mondta Michal Malík, az ESET víruskutatója."
„További érdekesség, hogy a kártevőtörzs tartalmaz egy üzenetet azok számára, akik megpróbálják semlegesíteni a fenyegetést. Az üdvözlő üzenet 2.0-ás verziója ugyanis a malwaremustdie.org oldalra irányít át, amely korábban már részletes elemzést közölt a Gafgyt, a Tsunami, valamint a kártevőcsalád további tagjairól” – tette hozzá Malík."