Неизвестные хакеры подключают уязвимые Linux-серверы к ботнет-сети

Неизвестные злоумышленники атакуют плохо защищенные Linux-серверы с SSH и заставляют их участвовать в DDoS-атаках, а также добывать криптовалюту в фоновом режиме. Для этого хакеры используют ботнет Tsunami, также известный как Kaiten, который часто распространяется вместе с вредоносными программами Mirai и Gafgyt . Кампанию обнаружили специалисты AhnLab.

Ботнет Tsunami отличается от других ботнетов тем, что он функционирует как IRC-бот, то есть он использует IRC для общения со злоумышленником. Исходный код Tsunami является общедоступным, поэтому он используется множеством киберпреступников. Среди различных применений Tsunami, ботнет чаще всего используется в атаках против IoT-устройств, а также в атаках на Linux-серверы.

Атакующие проводят атаку по словарю, чтобы войти в Linux-серверы с SSH и установить на них:

• DDoS-боты Tsunami и ShellBot;
• криптомайнер XMRig CoinMiner;
• инструмент для удаления и изменения журналов Log Cleaner.

Среди установленных вредоносных программ, файл «key» является Bash-скриптом, который загружает дополнительные вредоносные программы. Помимо того, что файл является загрузчиком, он также выполняет различные задачи для получения контроля над зараженными системами, включая установку SSH-аккаунта с бэкдором.

Оба бота Tsunami и ShellBot используют протокол IRC для передачи украденной информации на сервер управления и контроля (C2) и получения от сервера инструкций. Log Cleaner, вероятно, устанавливается для скрытия злонамеренной активности и затруднения будущих попыток расследования нарушения. XMRig устанавливается для добычи криптовалюты.

Предотвращение атаки

Предотвратить такой тип атаки несложно. Для этого администраторам следует:

• устанавливать сложные и уникальные пароли;
• включать двухфакторную аутентификацию на своем SSH-аккаунте;
• настраивать брандмауэры для блокировки злонамеренных попыток доступа и предотвращения несанкционированного входа в систему.

В случае компрометации Linux-системы администраторам следует использовать индикаторы компрометации (IoC), которые предоставляют специалисты по безопасности, чтобы удалить вредоносные программы и злонамеренные скрипты из системы.

В обнаруженных атаках злоумышленники также создают SSH бэкдор-аккаунт, который служит как запасная мера для сохранения доступа к системе в случае, если администратор изменит пароль своего аккаунта. Аккаунт администратора также следует удалить. Наконец, блокировка трафика вредоносных программ к C2-серверам также имеет жизненно важное значение, чтобы предотвратить утечку данных и доставку команд.

Напомним, что после пандемии COVID-19 количество атак на IoT-устройства выросло на 700%. В течение 15-дневного периода эксперты выявили в общей сложности 18 тыс. уникальных хостов и около 900 уникальных передач полезной нагрузки. Чаще всего встречались заражения семействами вредоносов Gafgyt и Mirai — на них приходилось 97% процентов из 900 полезных нагрузок. Данные семейства позволяют своим операторам перехватывать контроль над устройствами для создания ботнетов. Наиболее часто подвергались атакам IoT-устройства в Ирландии (48%), США (32%) и Китае (14%).