Поделиться
Microsoft: Хакеры массово захватывают устройства на Linux
Эксперты Microsoft выявили пространную кампанию, нацеленную на сетевые устройства под Linux. Злоумышленники брутфорсят эти устройства (подбирают к ним пароли) с целью установки бэкдоров и криптомайнеров.
OpenSSH с начинкой
Корпорация Microsoft сообщила об обнаружении массированной кампании по захвату доступных из внешней Сети устройств интернета вещей и другого сетевого оборудования под управлением Linux. Злоумышленники используют брутфорс-атаки (подбирают пароли) для получения первичного доступа в систему, а затем устанавливают туда троянизированный пакет OpenSSH, выполняющий роль бэкдора, и крадут реквизиты доступа SSH, чтобы обеспечить себе постоянство присутствия.
«Устанавливаемые обновления добавляют обработчики прерываний (hooks), которые перехватывают пароли и ключи SSH-соединений устройства, как клиентских, так и серверных», — указывается в бюллетене Microsoft.
Эксперты Microsoft отмечают также, что эти обновления позволяют получать SSH-доступ с правами суперпользователя (root) и подавлять регистрацию всех SSH-сессий злоумышленника, тем самым скрывая его присутствие. Для этого используется специальный пароль.
Shell-скрипт бэкдора, который устанавливается одновременно с троянизированным исполняемым файлом OpenSSH, добавляет в файл authorized_keys два публичных ключа для постоянного SSH-доступа.
Трое сбоку, ваших нет
Он также позволяет злоумышленникам устанавливать руткиты (в частности, исследователи обнаружили LKM-руткиты Reptile и Diamorphine), чтобы, опять-таки, чтобы скрывать следы какой-либо вредоносной активности.
Вредонос, кроме того, определяет и ликвидирует процессы криптомайнеров конкурентов (определяя их по именам), либо просто блокирует трафик к ним, внося новые правила в файлы iptables и /etc/hosts. Настройки доступа по SSH конкурентов также удаляются из authorized_keys.
Мало того, злоумышленники устанавливают на атакованное устройство версию опенсорсного IRC-бота ZiggyStarTux, который используется для выполнения bash-команд и, при необходимости, для запуска DDoS-атак. ZiggyStrTux регистрируется как служба systemd (соответствующий файл регистрируется в /etc/systemd/system/network-check.service).
Бэкдор использует многочисленные методики для обеспечения постоянства присутствия на скомпрометированных системах, дублируя исполняемые файлы в нескольких местах на накопителе и настраивая задачи cron для их регулярного запуска.
Легитимный домен
Коммуникации между ботами ZiggyStarTux и IRC-серверами маскируются с помощью субдомена, который принадлежит легитимному финансовому учреждению из Юго-Восточной Азии.
В ходе расследования эксперты Microsoft обнаружили, что боты скачивают и запускают дополнительные Shell-скрипты для брутфорс-атак каждого активного хоста в подсети, где располагается взломанное устройство, и установки на них бэкдоров.
Все ради криптовалюты
Эксперты отметили, что один из скриптов, которые хакеры загружают на атакуемые устройства, скачивает архив с вредоносом, написанным специально под Hiveon OS, опенсорсную операционную систему на базе Linux, которая предназначена для криптомайнинговых комплексов.
«По всей видимости, ради рассадки майнеров вся эта кампания и затевалась, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Криминальные майнеры до сих пор приносят злоумышленникам достаточный доход, чтобы разворачивать подобные сложные операции. Тем более, что в данной ситуации могли работать сразу несколько группировок».
Действительно, в публикации Microsoft указывается на признаки совместной деятельности. Экспертам корпорации удалось отследить организатора кампании — до никнейма на хакерском форуме cardingforum.cx. Пользователь asterzeu предлагает многочисленные хакерские инструменты, включая SSH-бэкдор. В 2015 г., судя по почтовому адресу, этот же пользователь зарегистрировал домен madagent.tm. Связанные с ним серверы использовали также домен madagent.cc, а это один из командных сервером ZiggyStarTux. Shell-бэкдор использовали сразу несколько злоумышленников, указывается в публикации Microsoft, что свидетельствует о существовании целой сети инструментов и инфраструктуры, которая раздается партнерам или продается на хакерских площадках по модели «вредонос-как-услуга» (Malware-as-a-service).
В Microsoft рекомендуют усилить защиту доступных извне сетевых устройств, накатить все актуальные обновления, где это возможно, и в целом максимально ограничить доступ по SSH, чтобы сделать брутфорс-атаки бесполезными.
Короткая ссылка
