Hacking
Κίνδυνοι από εκτεθειμένες διεπαφές JDWP και το νέο botnet Hpingbot
Εξετάζουμε τις απειλές από εκτεθειμένες διεπαφές JDWP και το νέο botnet Hpingbot.
Η εκμετάλλευση των διεπαφών JDWP
Οι κυβερνοεγκληματίες εκμεταλλεύονται εκτεθειμένες διεπαφές του Java Debug Wire Protocol (JDWP) για να αποκτήσουν δυνατότητες εκτέλεσης κώδικα και να εγκαταστήσουν λογισμικό εξόρυξης κρυπτονομισμάτων σε παραβιασμένα συστήματα. Σύμφωνα με τους ερευνητές της Wiz, Yaara Shriki και Gili Tikochinski, οι επιτιθέμενοι χρησιμοποιούν μια τροποποιημένη έκδοση του XMRig με σκληροκωδικοποιημένη διαμόρφωση, αποφεύγοντας έτσι ύποπτες παραμέτρους γραμμής εντολών που συχνά εντοπίζονται από τους αμυντικούς μηχανισμούς.
Η απειλή για τις υποδομές cloud
Η εταιρεία ασφάλειας cloud, η οποία βρίσκεται στη διαδικασία εξαγοράς από την Google Cloud, παρατήρησε αυτή τη δραστηριότητα στους honeypot servers της που εκτελούν το TeamCity, ένα δημοφιλές εργαλείο συνεχούς ενσωμάτωσης και παράδοσης (CI/CD). Το JDWP είναι ένα πρωτόκολλο επικοινωνίας που χρησιμοποιείται στην Java για σκοπούς αποσφαλμάτωσης. Παρέχει τη δυνατότητα στους χρήστες να χρησιμοποιούν έναν debugger για εργασία σε διαφορετική διεργασία, μια εφαρμογή Java, είτε στον ίδιο υπολογιστή είτε σε απομακρυσμένο.
Οι κίνδυνοι από την έκθεση του JDWP
Ωστόσο, δεδομένου ότι το JDWP στερείται μηχανισμών πιστοποίησης ή ελέγχου πρόσβασης, η έκθεση της υπηρεσίας στο διαδίκτυο μπορεί να ανοίξει έναν νέο διαύλο επίθεσης που οι επιτιθέμενοι μπορούν να εκμεταλλευτούν ως σημείο εισόδου, επιτρέποντας πλήρη έλεγχο στη διαδικασία Java που εκτελείται. Με απλά λόγια, η λανθασμένη διαμόρφωση μπορεί να χρησιμοποιηθεί για την έγχυση και εκτέλεση αυθαίρετων εντολών, προκειμένου να εγκατασταθεί κακόβουλο λογισμικό και να επιτευχθεί επίμονη πρόσβαση.
Η χρήση του JDWP σε δημοφιλείς εφαρμογές
Ενώ το JDWP δεν είναι ενεργοποιημένο από προεπιλογή στις περισσότερες εφαρμογές Java, χρησιμοποιείται συνήθως σε περιβάλλοντα ανάπτυξης και αποσφαλμάτωσης. Πολλές δημοφιλείς εφαρμογές ξεκινούν αυτόματα έναν διακομιστή JDWP όταν εκτελούνται σε λειτουργία αποσφαλμάτωσης, συχνά χωρίς να καθιστούν τους κινδύνους προφανείς στον προγραμματιστή. Εάν δεν ασφαλιστεί σωστά ή παραμείνει εκτεθειμένο, αυτό μπορεί να ανοίξει την πόρτα σε ευπάθειες απομακρυσμένης εκτέλεσης κώδικα (RCE).
Η απειλή του botnet Hpingbot
Η αποκάλυψη αυτή έρχεται καθώς η NSFOCUS ανέλυσε ένα νέο, ταχέως εξελισσόμενο κακόβουλο λογισμικό βασισμένο στη γλώσσα Go, με την ονομασία Hpingbot, το οποίο μπορεί να στοχεύσει τόσο συστήματα Windows όσο και Linux για να τα εντάξει σε ένα botnet ικανό να εκτελεί επιθέσεις διανομής άρνησης υπηρεσίας (DDoS) χρησιμοποιώντας το hping3, ένα ελεύθερα διαθέσιμο εργαλείο για τη δημιουργία και αποστολή προσαρμοσμένων πακέτων ICMP/TCP/UDP.
Η καινοτομία του Hpingbot
Ένα αξιοσημείωτο στοιχείο του κακόβουλου λογισμικού είναι ότι, σε αντίθεση με άλλα trojans που συνήθως προέρχονται από γνωστές οικογένειες botnet όπως το Mirai και το Gafgyt, το Hpingbot αποτελεί μια εντελώς νέα παραλλαγή. Από τις 17 Ιουνίου 2025, έχουν εκδοθεί εκατοντάδες εντολές DDoS, με κύριους στόχους τη Γερμανία, τις Ηνωμένες Πολιτείες και την Τουρκία.
Αδυναμίες και επιθέσεις SSH
Το Hpingbot εκμεταλλεύεται κυρίως αδύναμες διαμορφώσεις SSH, διαδίδεται μέσω ενός ανεξάρτητου module που πραγματοποιεί επιθέσεις password spraying για να αποκτήσει αρχική πρόσβαση στα συστήματα. Η παρουσία γερμανικών σχολίων αποσφαλμάτωσης στον πηγαίο κώδικα υποδηλώνει ότι η τελευταία έκδοση μπορεί να βρίσκεται υπό δοκιμή. Η αλυσίδα επίθεσης περιλαμβάνει τη χρήση του Pastebin ως dead drop resolver για να υποδεικνύει μια διεύθυνση IP που χρησιμοποιείται για τη λήψη ενός shell script.
Η δυνατότητα εξάπλωσης του Hpingbot
Το script χρησιμοποιείται για την ανίχνευση της αρχιτεκτονικής CPU του μολυσμένου host, την τερματισμό μιας ήδη εκτελούμενης έκδοσης του trojan και την ανάκτηση του κύριου payload που είναι υπεύθυνο για την εκκίνηση επιθέσεων DDoS μέσω TCP και UDP. Το Hpingbot έχει σχεδιαστεί επίσης για να εγκαθιστά επίμονη πρόσβαση και να καλύπτει τα ίχνη της μόλυνσης καθαρίζοντας το ιστορικό εντολών.
Σε μια ενδιαφέρουσα ανατροπή, οι επιτιθέμενοι έχουν παρατηρηθεί να χρησιμοποιούν κόμβους ελεγχόμενους από το Hpingbot για την παράδοση ενός άλλου DDoS component βασισμένου στη Go, το οποίο, ενώ βασίζεται στον ίδιο command-and-control (C2) server, αποφεύγει τις κλήσεις Pastebin και hping3 για ενσωματωμένες λειτουργίες επίθεσης flood βασισμένες στα πρωτόκολλα UDP και TCP.
Ένα άλλο στοιχείο που αξίζει να αναφερθεί είναι ότι, αν και η έκδοση των Windows δεν μπορεί να χρησιμοποιήσει το hping3 για την εκκίνηση επιθέσεων DDoS λόγω του ότι το εργαλείο εγκαθίσταται χρησιμοποιώντας την εντολή Linux “apt -y install”, η ικανότητα του κακόβουλου λογισμικού να ρίχνει και να εκτελεί πρόσθετα payloads υποδηλώνει την πιθανότητα ότι οι επιτιθέμενοι σκοπεύουν να προχωρήσουν πέρα από τη διακοπή υπηρεσιών για να το μετατρέψουν σε ένα δίκτυο διανομής payloads.
Είναι αξιοσημείωτο ότι η έκδοση των Windows του Hpingbot δεν μπορεί να καλέσει απευθείας το hping3 για την εκκίνηση επιθέσεων DDoS, αλλά η δραστηριότητά της είναι εξίσου συχνή, υποδεικνύοντας ότι οι επιτιθέμενοι δεν επικεντρώνονται μόνο στην εκκίνηση DDoS, αλλά πιθανότατα επικεντρώνονται στη λειτουργία του για τη λήψη και εκτέλεση αυθαίρετων payloads.
