Uma nova botnet denominada SSHStalker está a dar que falar entre os especialistas de segurança, não pela sua sofisticação tecnológica, mas pelo recurso a métodos "clássicos" para comprometer sistemas Linux. A rede utiliza o protocolo IRC (Internet Relay Chat) para as suas operações de comando e controlo (C2), uma tecnologia criada em 1988 que teve o seu auge nos anos 90, mas que continua a ser apreciada pela sua simplicidade e baixo consumo de largura de banda.
Ao contrário das ameaças modernas que procuram a máxima discrição, a SSHStalker foca-se na escala e na resiliência. Através de múltiplos servidores e canais de redundância, a botnet prioriza a fiabilidade sobre o sigilo, utilizando técnicas ruidosas de varrimento para encontrar novas vítimas.
Invasão em massa através de SSH e explorações antigas
O método de acesso inicial da SSHStalker baseia-se em varrimentos automatizados e ataques de força bruta contra o protocolo SSH. Para passar despercebida nos registos iniciais, a botnet utiliza um binário escrito em linguagem Go que se disfarça de nmap, uma ferramenta legítima e popular de descoberta de redes.
De acordo com os investigadores da Flare, uma empresa de inteligência de ameaças, a botnet foi detetada a analisar quase 7.000 alvos apenas em janeiro, focando-se maioritariamente em fornecedores de alojamento na nuvem, como a infraestrutura da Oracle Cloud.
Uma vez dentro do sistema, o malware descarrega o compilador GCC para gerar os seus próprios ficheiros maliciosos diretamente no dispositivo da vítima, garantindo que estes correm sem problemas de compatibilidade. Para elevar os seus privilégios e obter controlo total, a SSHStalker utiliza um catálogo de falhas críticas (CVE) com cerca de 15 anos, visando versões do kernel Linux de 2009 e 2010.
Persistência agressiva e objetivos financeiros
A botnet garante que não é facilmente removida através de tarefas cron que correm a cada 60 segundos. Este mecanismo de vigilância verifica se o processo principal do bot está ativo e, caso tenha sido terminado, volta a lançá-lo imediatamente.
Quanto aos objetivos destes atacantes, a Flare identificou várias frentes de monetização:
Recolha de chaves da AWS (Amazon Web Services).
Varrimento de sites à procura de vulnerabilidades.
Instalação de ferramentas para a mineração de criptomoedas, como o PhoenixMiner.
Embora a rede tenha capacidades para realizar ataques de negação de serviço (DDoS), os investigadores notaram que, por agora, os sistemas infetados permanecem maioritariamente em estado de espera, o que sugere que os atacantes podem estar ainda em fase de testes ou a acumular acessos para utilizações futuras.
Para proteger os servidores, recomenda-se a desativação da autenticação por palavra-passe no SSH, a remoção de compiladores de imagens de produção e a monitorização de ligações invulgares de saída que utilizem protocolos de conversação antigos.
Nenhum comentário
Seja o primeiro!