Системите Linux, работещи с интернет, и устройствата от интернет на нещата (IoT) са обект на нова кампания, предназначена за незаконно добиване на криптовалута.
„Тези, които стоят зад атаката, използват задна врата, която разгръща широк набор от инструменти и компоненти, като руткитове и IRC бот, за да откраднат ресурсите на устройствата за операции по добив“, заяви Ротем Сде-Ор, изследовател на заплахите в Microsoft.
„Задната врата също така инсталира поправена версия на OpenSSH на засегнатите устройства, което позволява на злосторниците да похищават SSH пълномощни, да се движат странично в мрежата и да прикриват злонамерени SSH връзки.“
За да се осъществи схемата, неправилно конфигурираните хостове с Linux се насилват, за д получаване на първоначален достъп, след което извършителите деактивират историята на шела и извличат троянска версия на OpenSSH от отдалечен сървър.
Измамният пакет OpenSSH е конфигуриран така, че да инсталира и стартира задната врата – шел скрипт, който позволява на нападателите да разпространяват допълнителни полезни товари и да извършват други дейности след експлоатирането.
Това включва ексфилтриране на информация за устройството, инсталиране на руткитове с отворен код, наречени Diamorphine и Reptile, от GitHub и предприемане на стъпки за прикриване на дейността му чрез изчистване на дневниците, които биха могли да сигнализират за присъствието му.
„За да осигури постоянен SSH достъп до устройството, backdoor-ът добавя два публични ключа към конфигурационните файлове authorized_keys на всички потребители в системата“, казва производителят на Windows.
Имплантът също така се стреми да монополизира ресурсите на заразената система, като елиминира конкурентните процеси за добив на криптовалути, които може вече да са стартирани на нея, преди да стартира своя миньор.
Освен това той изпълнява модифицирана версия на ZiggyStarTux – базиран на IRC клиент за разпределен отказ на услуга (DDoS), който е в състояние да изпълнява bash команди, издадени от сървъра за управление и контрол (C2). Той е базиран на друг зловреден софтуер за ботнет, наречен Kaiten (известен още като Tsunami).
Технологичният гигант отбеляза, че атаките използват поддомейн на неназована финансова институция от Югоизточна Азия за комуникации C2 в опит да прикрият зловредния трафик.
Струва си да се отбележи, че начинът на действие, описан подробно от Microsoft, се припокрива с неотдавнашен доклад на Центъра за спешно реагиране в областта на сигурността AhnLab (ASEC), в който подробно са описани атаки, насочени към открити Linux сървъри със зловреден софтуер за добив на крипто и вариант на ботнет Tsunami, наречен Ziggy.
Операцията е проследена до участник на име asterzeu, който е предложил комплекта инструменти за продажба на пазара на зловреден софтуер като услуга. „Сложността и обхватът на тази атака са показателни за усилията, които нападателите полагат, за да избегнат откриването“, казва Сде-Ор.
Разработката идва в момент, когато множество известни пропуски в сигурността на рутери, цифрови видеорекордери и друг мрежов софтуер се използват активно за разгръщане на зловредния софтуер Mirai botnet, според Akamai и Palo Alto Networks Unit 42.
„Ботнетът Mirai, открит още през 2016 г., е активен и днес“, заявиха изследователите от Уни 42. „Значителна част от причината за популярността му се крие в пропуските в сигурността на IoT устройствата.“
„Тези уязвимости с отдалечено изпълнение на код, насочени към IoT устройства, се отличават с комбинация от ниска сложност и голямо въздействие, което ги прави неустоима цел за хакерите.“
