A empresa de segurança ESET localizou nada menos do que 21 famílias de malwares para Linux implantados em ferramentas SSH, que estão disponíveis para download em dezenas de endereços da Internet. As informações estão numa pesquisa feita pelos pesquisadores Romain Dumont, Marc-Etienne Léveillé e Hugo Porcher, que precisou de três anos para ficar pronta. Ela mostra que cibercriminosos estão conseguindo ampla visibilidade dos servidores por terem conseguido as credenciais de SSH.
[box type=”info” style=”rounded” border=”full”]O Secure Socket Shell ou SSH (também conhecido como Secure Shell) é um protocolo de rede que proporciona um modo seguro de acessar um computador em uma rede aberta. O SSH também se refere ao conjunto de utilitários que implementam o protocolo SSH. Ele tem autenticação forte e comunicação de dados com criptografia entre os dois computadores conectados. O SSH é amplamente utilizado por administradores de rede para gerenciar sistemas e aplicativos remotamente, permitindo que se conectem, executem comandos e movam arquivos de um computador para outro por exemplo.[/box]
Todas as distribuições de Linux trazem instalado o Portable SSH, mas há muitas outras versões disponíveis para instalação e outras tantas contaminadas. Elas fazem exfiltração de credenciais para servidores de comando e controle, às vezes para arquivos locais, mas também conseguem enviá-las por email. A pesquisa descobriu que esses invasores tentam detectar outros backdoors do OpenSSH antes de implementar os seus próprios. Para isso eles usam um script Perl que contém mais de 40 assinaturas para detectar diferentes backdoors.
Algumas das conclusões da pesquisa:
- 18 das 21 famílias de malwares têm recursos para roubo de credenciais, tornando possível roubar senhas e / ou chaves usadas pelo cliente e pelo servidor
- 17 das 21 famílias têm um modo backdoor, permitindo ao invasor uma maneira furtiva e persistente de se conectar de volta à máquina comprometida
Os pesquisadores da Por que há grande preferência pelo ataque ao SSH
- Não é necessário que uma nova porta TCP seja aberta na máquina comprometida. O SSH já está lá e provavelmente acessível pela internet
- O daemon e o cliente do OpenSSH veem as senhas em texto não criptografado, fornecendo ao invasor o potencial de roubar credenciais
- O código-fonte do OpenSSH está disponível gratuitamente, facilitando a criação de uma versão “personalizada” (com backdoor)
- O OpenSSH é construído para dificultar a implementação de um ataque man-in-the-middle e espionar a atividade de seus usuários. Os atacantes podem aproveitar isso para ficarem fora do radar enquanto eles conduzem atividades maliciosas no servidor comprometido.
