Pesquisadores do Internet Storm Center identificaram uma nova ameaça de autopropagação capaz de comprometer completamente sistemas Linux em apenas quatro segundos por meio de ataques de força bruta SSH. A descoberta ocorreu após análise de tráfego capturado por sensores honeypot DShield, projetados especificamente para detectar ataques baseados em SSH.
A investigação revelou que o malware teve origem em um dispositivo Raspberry Pi comprometido na Alemanha, vítima da mesma cadeia de ataque. O padrão de propagação do tipo worm permite que a botnet se espalhe exponencialmente por sistemas vulneráveis conectados à internet.
Ataque combina credenciais fracas e script de 4,7 KB
A infecção inicia quando o malware autentica com sucesso utilizando credenciais padrão comuns, visando especificamente dispositivos Raspberry Pi com usuário “pi” e senhas como “raspberry” ou “raspberryraspberry993311”. Imediatamente após obter acesso, um script bash compacto de 4,7 kilobytes é carregado e executado.
O script estabelece múltiplas camadas de persistência por meio de modificação em arquivos do sistema e tarefas agendadas. Além disso, elimina processos de botnets concorrentes e mineradores de criptomoedas, garantindo controle exclusivo sobre os recursos do sistema. O dispositivo comprometido então se conecta à infraestrutura de comando e controle utilizando redes Internet Relay Chat.
Comandos validados por chave pública RSA
O que distingue esta ameaça de worms SSH típicos é a implementação de verificação de comandos por assinatura criptográfica. O malware contém uma chave pública RSA embutida que valida todas as instruções recebidas do operador antes da execução, impedindo que partes não autorizadas sequestrem os dispositivos comprometidos dentro da botnet.
Após estabelecer persistência, o dispositivo infectado conecta-se a múltiplas redes IRC em diferentes localizações geográficas e ingressa em um canal específico nomeado “#biret”, onde aguarda novas instruções. Para propagação adicional, o malware instala ferramentas de varredura como Zmap e sshpass em cada sistema infectado, permitindo a realização de varreduras rápidas de porta em 100 mil endereços IP aleatórios.
Organizações podem bloquear ameaça com chaves e isolamento
A proteção contra o ataque requer a desabilitação da autenticação baseada em senha SSH, com adoção de autenticação por chaves. Recomenda-se também a remoção de contas de usuário padrão em dispositivos Raspberry Pi, implementação do fail2ban para proteção contra força bruta e segmentação de rede para isolar dispositivos IoT da infraestrutura crítica.






