Инсталират на тях „задни вратички” и „криптомайнери”
Мащабна кампания, насочена към Linux мрежови устройства, разкриха специалистите по сигурност на Microsoft. Използвайки техниката на "груба сила”, нападателите инсталират "задни вратички” и
"криптомайнери” в инфектираните системи, пише TechNews.bg. Атакувани са устройства за "интернет на нещата” (IoT) и друго мрежово оборудване под
Linux, достъпно през интернет. Нападателите прилагат "груба сила” за отгатване на паролите, получат първоначален достъп до системата и след това инсталират пакет OpenSSH с троянец, който действа
като задна вратичка, крадат идентификационните данни за достъп до SSH и се настаняват постоянно в заразената система. "Инсталираните актуализации добавят кукички, които прихващат паролите и
ключовете на SSH връзките на устройството – както клиентско, така и сървърно”, пояснява Microsoft в бюлетин за сигурността. Според експертите, тези актуализации позволяват на атакуващите да получат
SSH достъп с права на суперпотребител (root) и да потиснат регистрацията на всички свои SSH сесии, като по този начин скриват присъствието си. За тази цел използват специална парола.
Скриптът на задната вратичка (бекдор), който се инсталира едновременно с троянския изпълним файл на OpenSSH, добавя два публични ключа към файла authorized_keys за постоянен SSH достъп. Пакетът
позволява също на атакуващите да инсталират руткитове (по-специално, LKM руткитове Reptile и Diamorphine), за да скрият следите от злонамерена дейност.
Освен това зловредният софтуер открива и елиминира процесите на конкурентни криптомайнери (като ги определя по име) или просто блокира трафика към тях чрез въвеждане на нови правила във файловете
iptables и /etc/hosts. Настройките за SSH достъп на конкуренти също се премахват от authorized_keys.
В допълнение, нападателите инсталират на атакуваното устройство версия на IRC бота с отворен код ZiggyStarTux, който се използва за изпълнение на bash команди и, ако е необходимо, за стартиране на
DDoS атаки. ZiggyStrTux е регистриран като systemd услуга (съответният файл е регистриран в /etc/systemd/system/network-check.service).
Бекдорът използва многобройни техники, за да си осигури постоянно присъствие на компрометираниje системи чрез дублиране на изпълними файлове на множество места на устройството и да конфигурира
задания на cron, които се изпълняват редовно.
Комуникациите между ботовете на ZiggyStarTux и IRC сървърите са маскирани с помощта на поддомейн, който принадлежи на законна финансова институция от Югоизточна Азия.
По време на разследването експертите на Microsoft установяват, че ботовете изтеглят и изпълняват допълнителни скриптове на Shell за "груби атаки” на всеки активен хост в подмрежата, където се
намира компрометираното устройство, и инсталират задни вратички в тях.
Един от скриптовете, които хакерите качват на атакуваните устройства, изтегля архив със зловреден софтуер, написан специално за Hiveon OS – базирана на Linux операционна система с отворен код,
предназначена за криптокопаене.
Microsoft е проследила организатора на кампанията, стигайки до псевдоним в хакерския форум cardingforum.cx. Потребителят asterzeu предлага множество инструменти за хакване, включително SSH бекдор.
През 2015 г., съдейки по пощенския адрес, същият потребител регистрира домейна madagent.tm. Свързаните с него сървъри използват също домейна madagent.cc и това е един от командните и контролните
сървъри на ZiggyStarTux.
Задната вратичка е била използвана от няколко нападатели наведнъж, според публикация на Microsoft, което показва съществуването на цяла мрежа от инструменти и инфраструктура. Тя се разпространява
към партньори или се продава на хакерски платформи, според модела "малуер като услуга”.
Microsoft препоръчва засилване на защитата на мрежовите устройства, достъпни през интернет, инсталиране на всички най-нови актуализации и като цяло ограничаване на SSH достъпа доколкото е възможно,
за да се обезсмислят атаките с груба сила.
