Um operador de ameaça desconhecido está forçando servidores Linux SSH a instalar uma ampla variedade de malware, incluindo a botnet para ataque distribuído de negação de serviço (DDoS) Tsunami, o ShellBot, limpadores de log, ferramentas de escalonamento de privilégios e um minerador de moedas XMRig (Monero), de acordo com o AhnLab Security Emergency Response Center (ASEC), que monitora ameaças de e-mail de phishing.
SSH (Secure Socket Shell) é um protocolo de comunicação de rede criptografado para fazer login em máquinas remotas, suporte a tunelamento, encaminhamento de porta TCP, transferências de arquivos, etc. Os administradores de rede geralmente usam o SSH para gerenciar dispositivos Linux remotamente, executando tarefas como executar comandos, alterar a configuração, atualizar o software e solucionar problemas. No entanto, se esses servidores forem mal protegidos, eles podem ficar vulneráveis a ataques de força bruta, permitindo que os agentes de ameaças experimentem várias combinações potenciais de nome de usuário e senha até que uma correspondência seja encontrada.
O ASEC já havia descoberto recentemente uma campanha desse tipo, que invadiu servidores Linux para lançar ataques DDoS e minerar a criptomoeda Monero. Os invasores vasculharam a internet em busca de servidores Linux SSH expostos publicamente e, em seguida, pares de nome de usuário e senha de força bruta para fazer login no servidor. Depois de estabelecer uma posição no terminal como usuário administrador, eles executaram o seguinte comando para buscar e executar uma coleção de malware por meio de um script Bash.
Veja isso
Ransomware RTM tem como alvo servidores VMware ESXi Linux
Grupo Iron Tiger cria versão Linux de seu malware personalizado
A ASEC observou que os invasores também geraram um novo par de chaves SSH públicas e privadas para o servidor violado para manter o acesso mesmo se a senha do usuário fosse alterada. O malware baixado em hosts comprometidos inclui botnets DDoS, limpadores de log, mineradores de criptomoedas e ferramentas de escalonamento de privilégios. O outro malware botnet DDoS visto nesses ataques é o Tsunami, que também usa o protocolo IRC para comunicação.
Além de SYN, ACK, UDP e ataques DDoS de inundação aleatória, o Tsunami também oferece suporte a um amplo conjunto de comandos de controle remoto, incluindo execução de comandos shell, shells reversos, coleta de informações do sistema, atualização e download de cargas úteis adicionais de uma fonte externa.
Para se defender contra esses ataques, os usuários do Linux devem usar senhas de conta fortes ou, para maior segurança, exigir chaves SSH para efetuar login no servidor SSH, além de desabilitar o login root por meio do SSH, limitar o intervalo de endereços IP permitidos para acessar o servidor e alterar a porta SSH padrão para algo atípico que bots automatizados e scripts de infecção perderão.