(снимка: CC0 Public Domain)
Мащабна кампания, насочена към Linux мрежови устройства, разкриха специалистите по сигурност на Microsoft. Използвайки техниката на „груба сила”, нападателите инсталират „задни вратички” и „криптомайнери” в инфектираните системи.
Атакувани са устройства за „интернет на нещата” (IoT) и друго мрежово оборудване под Linux, достъпно през интернет. Нападателите прилагат „груба сила” за отгатване на паролите, получат първоначален достъп до системата и след това инсталират пакет OpenSSH с троянец, който действа като задна вратичка, крадат идентификационните данни за достъп до SSH и се настаняват постоянно в заразената система.
„Инсталираните актуализации добавят кукички, които прихващат паролите и ключовете на SSH връзките на устройството – както клиентско, така и сървърно”, пояснява Microsoft в бюлетин за сигурността.
Според експертите, тези актуализации позволяват на атакуващите да получат SSH достъп с права на суперпотребител (root) и да потиснат регистрацията на всички свои SSH сесии, като по този начин скриват присъствието си. За тази цел използват специална парола.
Скриптът на задната вратичка (бекдор), който се инсталира едновременно с троянския изпълним файл на OpenSSH, добавя два публични ключа към файла authorized_keys за постоянен SSH достъп. Пакетът позволява също на атакуващите да инсталират руткитове (по-специално, LKM руткитове Reptile и Diamorphine), за да скрият следите от злонамерена дейност.
Освен това зловредният софтуер открива и елиминира процесите на конкурентни криптомайнери (като ги определя по име) или просто блокира трафика към тях чрез въвеждане на нови правила във файловете iptables и /etc/hosts. Настройките за SSH достъп на конкуренти също се премахват от authorized_keys.
В допълнение, нападателите инсталират на атакуваното устройство версия на IRC бота с отворен код ZiggyStarTux, който се използва за изпълнение на bash команди и, ако е необходимо, за стартиране на DDoS атаки. ZiggyStrTux е регистриран като systemd услуга (съответният файл е регистриран в /etc/systemd/system/network-check.service).
[related-posts]
Бекдорът използва многобройни техники, за да си осигури постоянно присъствие на компрометираниje системи чрез дублиране на изпълними файлове на множество места на устройството и да конфигурира задания на cron, които се изпълняват редовно.
Комуникациите между ботовете на ZiggyStarTux и IRC сървърите са маскирани с помощта на поддомейн, който принадлежи на законна финансова институция от Югоизточна Азия.
По време на разследването експертите на Microsoft установяват, че ботовете изтеглят и изпълняват допълнителни скриптове на Shell за „груби атаки” на всеки активен хост в подмрежата, където се намира компрометираното устройство, и инсталират задни вратички в тях.
Един от скриптовете, които хакерите качват на атакуваните устройства, изтегля архив със зловреден софтуер, написан специално за Hiveon OS – базирана на Linux операционна система с отворен код, предназначена за криптокопаене.
Microsoft е проследила организатора на кампанията, стигайки до псевдоним в хакерския форум cardingforum.cx. Потребителят asterzeu предлага множество инструменти за хакване, включително SSH бекдор. През 2015 г., съдейки по пощенския адрес, същият потребител регистрира домейна madagent.tm. Свързаните с него сървъри използват също домейна madagent.cc и това е един от командните и контролните сървъри на ZiggyStarTux.
Задната вратичка е била използвана от няколко нападатели наведнъж, според публикация на Microsoft, което показва съществуването на цяла мрежа от инструменти и инфраструктура. Тя се разпространява към партньори или се продава на хакерски платформи, според модела „малуер като услуга”.
Microsoft препоръчва засилване на защитата на мрежовите устройства, достъпни през интернет, инсталиране на всички най-нови актуализации и като цяло ограничаване на SSH достъпа доколкото е възможно, за да се обезсмислят атаките с груба сила.
7 коментара
Аз съм на Уиндоус и спя спокойно.
Честно тази статия е много неграмотно и некадърно направена.
Да ако имаш парола от 100те масови немаш сигурност – какво откритие остава и топлата вода да откриете.
Относно сигурността има ама адски много да се направи по дифолт на Линукс – като логване до 3 пъти и заключване за час всекакво конектване за логване. Блокиране на всякакви конекции към атакувания порт – като iptables блокира само атакуващите IPтa. Но всичко това е къстъм настройки за всеки Линукс ако той не е с външен порт “няма нужда” да се прави нищо – е не е добре такова мислене ама е такова.
И задължително паролата трябва да е поне 12 знака и поне малки големи и специални знаци.
За жалост вината е някъде между производител и потребител.
Производителите често ползват софтуер, за който има публикувани уязвимости. Не правят много за сигурността на у-вата. След 2-3 години спират всякакви ъпдейти, АКО изобщо пуснат такива. Не правят достатъчно, за да обяснят на потребителите как да ги ползват и защитят.
Потребителите пък не се информират как да ползват тези у-ва, как да ги защитят поне малко. Слагат ги с публичен достъп. Изкарват ги през Port Forwarding със слаба или никаква парола. Никога нищо не ъпдейтват. Ползват домашни рутери, за които няма поддръжка от 10 години например.
Имам един сървър с инсталиран Crowdsec. Имаше един период преди година-две, периодично спираше атаки от Asustor у-ва. Оказа се, че хем производителя не прави много за сигурността на у-вата, хем потребители масово ги слагат с достъп през Интернет…
Не знам как да се промени това.
За туй ползувайте Remote Desktop от Microsoft гаранция че ще ви влизат от всякъде и хакват. От както Microsoft почна да ползва /Linux сървъри и да ги продава под наем през Azure от тази цялата работа Microsoft въвежда и своите стандарти за ниска сигурност и задължително да има дупки и задни вратички.
Много Уиндоуско звучи и по Майкрософтски звучи цялата работа и вдигат шум. Кой нормален грамотен Линукс потребител би инсталирал някакъв си пакет на OpenSSH, който да не е от официалното цифрово хранилище с цифров подпис? Пълен абсурд. Има ,fail2ban и много други сигурни защити надминаващи с векове Майкрософт. Има логване без парола с използването на ключове сертификати и също защитени VPN мрежи и тунели. Това е някаква безобразна анти кампания фейк нюз насочена срещу Линукс. Майкрософт ползва с отвращение Линукс и много иска да освободи всичко и да опетни.
Това е защото устройствата на нещата работят по Линукс, но ако работеха под Уиндоус – всичко щеше да е различно.
Много е просто, хората трябва да се научат да ги слагат зад firewall и тогава всичко ще е наред. Никаква “груба сила” няма да помогне на хакерите….
OpenSSH въобще не е троянец!