Un actor de amenazas desconocido está forzando los servidores SSH de Linux para instalar una amplia gama de malware, incluido el bot DDoS (denegación de servicio distribuida) Tsunami, ShellBot, limpiadores de registros, herramientas de escalada de privilegios y un minero de monedas XMRig (Monero).
SSH (Secure Socket Shell) es un protocolo de comunicación de red cifrado para iniciar sesión en máquinas remotas, que admite la creación de túneles, el reenvío de puertos TCP, la transferencia de archivos, etc.
Los administradores de red suelen utilizar SSH para gestionar dispositivos Linux de forma remota, realizando tareas como ejecutar comandos, cambiar la configuración, actualizar software y solucionar problemas.
Sin embargo, si esos servidores no están bien protegidos, pueden ser vulnerables a ataques de fuerza bruta, lo que permite a las amenazas probar muchas combinaciones posibles de nombre de usuario y contraseña hasta encontrar una coincidencia.
Tsunami en el servidor SSH
El Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) descubrió recientemente una campaña de este tipo, que pirateaba servidores Linux para lanzar ataques DDoS y minar la criptomoneda Monero.
Los atacantes escaneaban Internet en busca de servidores Linux SSH expuestos públicamente y luego forzaban pares de nombre de usuario y contraseña para iniciar sesión en el servidor.
Una vez que se establecieron en el endpoint como usuario administrador, ejecutaron el siguiente comando para obtener y ejecutar una colección de malware a través de un script Bash.
ASEC observó que los intrusos también generaron un nuevo par de claves SSH pública y privada para el servidor vulnerado con el fin de mantener el acceso aunque se cambiara la contraseña de usuario.
El malware descargado en los hosts comprometidos incluye botnets DDoS, limpiadores de registros, mineros de criptomonedas y herramientas de escalada de privilegios.
Empezando por ShellBot, este bot DDoS basado en Perl utiliza el protocolo IRC para comunicarse. Es compatible con el escaneo de puertos y los ataques de inundación UDP, TCP y HTTP, y también puede configurar un shell inverso.
El otro botnet DDoS visto en estos ataques es Tsunami, que también utiliza el protocolo IRC para comunicarse.
Fuente: somoslibres
