Segurança-no-Linux-e1571173721389.jpg

Hackers estão sequestrando sistemas Linux para criptojacking

Da Redação
25/06/2023

A Microsoft emitiu um alerta segundo o qual dispositivos Linux e internet das coisas (IoT) expostos à internet estão sendo sequestrados em ataques de força bruta como parte de uma campanha de criptojacking observada recentemente. Criptojacking é uma ameaça que se oculta em um computador ou dispositivo móvel e usa os recursos da máquina para “minerar” criptomoeda, ou seja, usa o equipamento para gerar moeda virtual.

Depois de obter acesso a um sistema, os invasores implantam um pacote OpenSSH “trojanizado” que os ajuda a fazer backdoor dos dispositivos comprometidos e roubar credenciais SSH (Secure Socket Shell) para manter a persistência. “Os patches instalam ‘ganchos’ que interceptam as senhas e chaves das conexões SSH do dispositivo, seja como cliente ou servidor”, disse a Microsoft. “Além disso, os patches permitem o login root [como administrador] por SSH e ocultam a presença do intruso, suprimindo o registro das sessões SSH dos operadores de ameaças, que são distinguidos por uma senha especial.”

Uma versão do bot IRC (Internet Relay Chat) de código aberto ZiggyStarTux também implantado na invasão vem com recursos para ataques distribuídos de negação de serviço (DDoS) e permite que os operadores executem comandos bash. A backdoor utiliza várias técnicas para garantir sua persistência em sistemas comprometidos, duplicando o binário em vários locais de disco e criando um agendador de tarefas (cron) para executá-lo periodicamente.

O tráfego de comunicação de comando e controle (C&C) entre os bots ZiggyStarTux e os servidores IRC é camuflado usando um subdomínio pertencente a uma instituição financeira legítima do sudeste asiático hospedada na infraestrutura do invasor.

Veja isso
Hackers infectam servidores Linux SSH com botnet Tsunami
Malware de criptomineração tem como alvo servidores Linux

Enquanto investigava a campanha, a Microsoft viu os bots sendo instruídos a baixar e executar scripts de shell adicionais para aplicar força bruta a todos os hosts ativos na sub-rede do dispositivo hackeado e fazer backdoor de qualquer sistema vulnerável usando o pacote OpenSSH trojanizado.

Depois de se mover lateralmente dentro da rede da vítima, o objetivo final dos invasores parece ser a instalação de malware de mineração direcionado a sistemas Hiveon OS baseados em Linux projetados para criptomineração. “A versão modificada do OpenSSH imita a aparência e o comportamento de um servidor OpenSSH legítimo e pode, portanto, representar um desafio maior para a detecção do que outros arquivos maliciosos”, disse a Microsoft. “O OpenSSH corrigido também pode permitir que operadores de ameaças acessem e comprometam dispositivos adicionais. Esse tipo de ataque demonstra as técnicas e a persistência de hackers que buscam se infiltrar e controlar dispositivos expostos.”

Compartilhar: