26 Декември 2024, 17:33 Днес (0) | Вчера (0)

Хакери масово превземат Linux устройства, предупреди Microsoft

27 Юни 2023 10:55 ИНСМАРКЕТ по статията работи: Insmarket
A+ A-
Последна редакция: 27 юни 2023, 10:33

Инсталират на тях „задни вратички” и „криптомайнери”

Мащабна кампания, насочена към Linux мрежови устройства, разкриха специалистите по сигурност на Microsoft. Използвайки техниката на "груба сила”, нападателите инсталират "задни вратички” и "криптомайнери” в инфектираните системи, пише TechNews.bg. Атакувани са устройства за "интернет на нещата” (IoT) и друго мрежово оборудване под Linux, достъпно през интернет. Нападателите прилагат "груба сила” за отгатване на паролите, получат първоначален достъп до системата и след това инсталират пакет OpenSSH с троянец, който действа като задна вратичка, крадат идентификационните данни за достъп до SSH и се настаняват постоянно в заразената система. "Инсталираните актуализации добавят кукички, които прихващат паролите и ключовете на SSH връзките на устройството – както клиентско, така и сървърно”, пояснява Microsoft в бюлетин за сигурността. Според експертите, тези актуализации позволяват на атакуващите да получат SSH достъп с права на суперпотребител (root) и да потиснат регистрацията на всички свои SSH сесии, като по този начин скриват присъствието си. За тази цел използват специална парола.
Скриптът на задната вратичка (бекдор), който се инсталира едновременно с троянския изпълним файл на OpenSSH, добавя два публични ключа към файла authorized_keys за постоянен SSH достъп. Пакетът позволява също на атакуващите да инсталират руткитове (по-специално, LKM руткитове Reptile и Diamorphine), за да скрият следите от злонамерена дейност.
Освен това зловредният софтуер открива и елиминира процесите на конкурентни криптомайнери (като ги определя по име) или просто блокира трафика към тях чрез въвеждане на нови правила във файловете iptables и /etc/hosts. Настройките за SSH достъп на конкуренти също се премахват от authorized_keys.
В допълнение, нападателите инсталират на атакуваното устройство версия на IRC бота с отворен код ZiggyStarTux, който се използва за изпълнение на bash команди и, ако е необходимо, за стартиране на DDoS атаки. ZiggyStrTux е регистриран като systemd услуга (съответният файл е регистриран в /etc/systemd/system/network-check.service).
Бекдорът използва многобройни техники, за да си осигури постоянно присъствие на компрометираниje системи чрез дублиране на изпълними файлове на множество места на устройството и да конфигурира задания на cron, които се изпълняват редовно.
Комуникациите между ботовете на ZiggyStarTux и IRC сървърите са маскирани с помощта на поддомейн, който принадлежи на законна финансова институция от Югоизточна Азия.
По време на разследването експертите на Microsoft установяват, че ботовете изтеглят и изпълняват допълнителни скриптове на Shell за "груби атаки” на всеки активен хост в подмрежата, където се намира компрометираното устройство, и инсталират задни вратички в тях.
Един от скриптовете, които хакерите качват на атакуваните устройства, изтегля архив със зловреден софтуер, написан специално за Hiveon OS – базирана на Linux операционна система с отворен код, предназначена за криптокопаене.
Microsoft е проследила организатора на кампанията, стигайки до псевдоним в хакерския форум cardingforum.cx. Потребителят asterzeu предлага множество инструменти за хакване, включително SSH бекдор. През 2015 г., съдейки по пощенския адрес, същият потребител регистрира домейна madagent.tm. Свързаните с него сървъри използват също домейна madagent.cc и това е един от командните и контролните сървъри на ZiggyStarTux.
Задната вратичка е била използвана от няколко нападатели наведнъж, според публикация на Microsoft, което показва съществуването на цяла мрежа от инструменти и инфраструктура. Тя се разпространява към партньори или се продава на хакерски платформи, според модела "малуер като услуга”.
Microsoft препоръчва засилване на защитата на мрежовите устройства, достъпни през интернет, инсталиране на всички най-нови актуализации и като цяло ограничаване на SSH достъпа доколкото е възможно, за да се обезсмислят атаките с груба сила.

Моля, пишете на кирилица! Коментари, написани на латиница, ще бъдат изтривани.

Валидни за 16:10 26 Декември 2024
    Купува Продава БНБ  
USD 1.5915 1.5924 1.8818
GBP 2.4796 2.4887 2.3565
EUR 1.9560 1.9560 1.9558
Резултати | Архив