Uma nova campanha de cibersegurança está a visar ativamente servidores NGINX, comprometendo a infraestrutura para sequestrar o tráfego dos utilizadores de forma silenciosa. A descoberta foi feita por investigadores da DataDog Security Labs, que identificaram um método sofisticado onde os atacantes reencaminham as ligações através da sua própria infraestrutura antes de estas chegarem ao destino legítimo.
O NGINX é um dos softwares de gestão de tráfego web mais populares do mundo, utilizado para alojamento, balanceamento de carga e como proxy reverso. A sua ubiquidade torna-o um alvo apetecível, mas o que distingue este ataque é que não se baseia numa vulnerabilidade de software tradicional, mas sim na manipulação direta das configurações do sistema.
Uma manipulação invisível nas configurações
A campanha visa instalações NGINX e painéis de gestão de alojamento Baota, focando-se particularmente em sites com domínios de topo asiáticos, bem como sites governamentais e educativos. A estratégia dos criminosos passa por modificar os ficheiros de configuração existentes do NGINX, injetando blocos de código maliciosos.
Estes blocos capturam pedidos recebidos em caminhos URL específicos selecionados pelo atacante. De seguida, o tráfego é reencaminhado através da diretiva proxy_pass para domínios controlados pelos criminosos. O aspeto mais perigoso desta técnica é que a diretiva proxy_pass é uma função legítima e comummente usada para balanceamento de carga, o que significa que o seu abuso raramente despoleta alertas de segurança nos sistemas de monitorização.
Para manter a aparência de legitimidade e evitar suspeitas, os atacantes preservam cabeçalhos de pedido cruciais, como 'Host', 'X-Real-IP' e 'User-Agent'. Isto permite que o tráfego flua de forma aparentemente normal, enquanto os dados passam silenciosamente pelas mãos dos piratas informáticos.
Um toolkit sofisticado em cinco etapas
O sucesso desta operação baseia-se num conjunto de ferramentas automatizado que executa a injeção de configurações em cinco fases distintas. O processo começa com um script controlador inicial (zx.sh) que descarrega e executa as restantes etapas, possuindo até mecanismos de redundância caso ferramentas comuns como o curl ou wget não estejam disponíveis no servidor.
As fases subsequentes são meticulosas. O script 'bt.sh', por exemplo, visa especificamente os ficheiros geridos pelo painel Baota, selecionando modelos de injeção dinamicamente e recarregando o NGINX para evitar tempos de inatividade que poderiam alertar os administradores. Outros scripts, como o '4zdh.sh', enumeram locais de configuração comuns e validam as alterações antes de as aplicar, garantindo que não corrompem o serviço.
Na fase final, um script de verificação varre as configurações comprometidas para criar um mapa dos domínios sequestrados e dos alvos do proxy. Toda esta informação, que representa um volume considerável de dados sobre a infraestrutura da vítima, é depois exfiltrada para um servidor de comando e controlo. Como o tráfego do utilizador final continua a chegar ao destino pretendido, muitas vezes de forma direta, a passagem pela infraestrutura do atacante torna-se extremamente difícil de detetar sem uma auditoria profunda aos ficheiros de configuração.
Nenhum comentário
Seja o primeiro!