Posté le juin 22, 2023 à 5:37

LES SERVEURS LINUX CIBLÉS PAR UN DANGEREUX BOT DDOS TSUNAMI

Le centre d’intervention d’urgence en matière de sécurité d’AhnLab (ASEC) a détecté une dangereuse attaque de cybersécurité. L’attaque vise les serveurs SSH Linux qui n’ont pas été correctement gérés. Des logiciels malveillants sont installés et diffusés sur ces serveurs par des acteurs de la menace pour déclencher les attaques.

Les serveurs Linux ciblés par un logiciel malveillant dangereux

La stratégie d’attaque la plus importante détectée par les chercheurs de l’ASEC est l’installation du Bot DDoS Tsunami. Les autres outils qui ont également été détectés par les chercheurs sont CoinMiner, Log Cleaner, ShellBot et le logiciel malveillant XMRig.

Le code source de Tsunami est déjà accessible au public. Ce code source a été utilisé pour mener un large éventail d’attaques ciblant les appareils IdO (Internet des Objets). Le code source est également généralement déployé conjointement avec Gafgyt et le botnet Mirai. Ces piratages sont réalisés par l’intermédiaire du bot Tsunami, qui est très populaire parmi les serveurs Linux.

Le rapport d’AhnLab indique par ailleurs que le service Secure Shell est aussi vulnérable à une mauvaise gestion. Ce service a été l’occasion idéale pour les hackers de réaliser des exploits et de lancer leurs campagnes de piratage. Les serveurs Secure Shell permettent aux administrateurs de se connecter à distance et de prendre le contrôle du système.

Les cyberattaquants à l’origine de cet exploit peuvent en outre obtenir un accès non autorisé en procédant à une attaque par force brute ou en menant une campagne de dictionnaires. Le bot DDoS facilite aussi l’exécution d’autres commandes malveillantes.

CoinMiner peut également avoir un effet négatif sur les performances d’une machine. Le hacker peut voler la puissance de fonctionnement de l’appareil et l’utiliser pour effectuer des opérations de minage de la monnaie privée Monero.

Le Log Cleaner joue quant à lui un rôle important dans cette campagne de piratage. L’outil permet de remplir un large éventail de fonctions, notamment de se débarrasser des preuves de cette attaque. L’outil rend aussi difficile pour les victimes de découvrir que leur machine a été victime d’attaques de piratage.

Les conséquences de ces exploits de piratage peuvent être préjudiciables aux administrateurs informatiques. AhnLab a également mis en évidence certaines mesures à prendre pour protéger les serveurs Linux et garantir qu’ils ne seront pas utilisés pour réaliser ces attaques de piratage.

L’entreprise de cybersécurité a ajouté qu’il est recommandé aux utilisateurs de modifier périodiquement leurs mots de passe. Selon l’entreprise, le processus de changement de mots de passe protégera le serveur Linux contre les attaques de piratage par force brute et les attaques par dictionnaire.

Les chercheurs ont en outre indiqué qu’il est recommandé aux utilisateurs de vérifier régulièrement l’existence de correctifs et de mises à jour. La vérification de ces mises à jour et de ces correctifs doit être effectuée même lorsque le processus a été automatisé. Effectuer des contrôles réguliers et s’assurer que le système est à jour garantira l’élimination de tous les bugs et vulnérabilités.

Le logiciel malveillant botnet DDoS Tsunami

Le logiciel malveillant Tsunami est généralement utilisé par les acteurs de la menace car le code source est accessible au public. Les acteurs de la menace peuvent modifier le code source du botnet Kaiten existant pour y intégrer davantage de fonctionnalités. Le botnet Tsunami utilisé lors de la récente campagne de piratage était une variante du bot Kaiten connue sous le nom de Ziggy.

Le botnet Tsunami utilise un protocole IRC pour communiquer avec les serveurs de commande et de contrôle. L’IRC est un protocole de discussion en temps réel sur Internet qui a été lancé en 1988. Les utilisateurs peuvent se connecter aux canaux de certains serveurs IRC et contacter en temps réel les autres utilisateurs qui se sont connectés au même canal.

« Le bot IRC installé sur le système infecté accède au canal d’un serveur IRC désigné par l’acteur de la menace conformément au protocole IRC, puis il transmet les informations volées au canal spécifié ou, lorsque l’attaquant saisit une chaîne de caractères particulière, il la reçoit comme une commande et exécute le comportement malveillant correspondant », ont déclaré les chercheurs.

Lorsque le bot Tsunami est exécuté, il publie son propre chemin d’accès dans le fichier « /etc/rc.local ». Ce fichier sera exécuté à chaque redémarrage du bot. Le logiciel malveillant tentera par la suite de modifier le nom du processus en cours en « [kworker/0:0] ». Ce nom est identique à celui d’un processus normal, ce qui empêchera les utilisateurs de remarquer quoi que ce soit.

Le logiciel malveillant Tsunami se connecte également au serveur IRC, fait partie d’un canal et attend les ordres de l’acteur de la menace. Les informations telles que l’adresse C&C et le mot de passe du canal sont généralement enregistrées et cryptées. Deux adresses de serveurs C&C sont utilisées dans la campagne et Tsunami choisit généralement l’une d’entre elles pour établir une connexion.