Posté le juin 23, 2023 à 5:19

UNE CAMPAGNE DE PIRATAGE CONTRE LINUX INFILTRE LES SERVEURS SSH AVEC LE BOT DDOS TSUNAMI

Une campagne de piratage a récemment été détectée par les chercheurs de l’AhnLab ASEC. La campagne d’attaque concernait des serveurs Linux SSH mal contrôlés et mal gérés. Les hackers à l’origine de cette campagne ont infiltré les serveurs à l’aide du bot de déni de service distribué (DDoS) Tsunami.

Des hackers ciblent des serveurs SSH Linux avec le logiciel malveillant DDoS Tsunami

En plus de travailler avec le bot DDoS Tsunami, l’acteur de la menace a aussi installé différentes formes de logiciels malveillants, dont Log Cleaner, ShellBot et XMRig CoinMiner. La majorité des campagnes de piratage qui sont menées le sont sur des serveurs SSH Linux. Les exploits impliquent également des bots DDoS et des CoinMiners ont également été installés.

Le logiciel malveillant Tsunami est une variante du bot DDoS Kaiten qui est également connu sous le nom de Ziggy. Ce logiciel malveillant est généralement distribué aux côtés d’autres logiciels malveillants, tels que Gafgyt et Mirai, les attaques étant utilisées pour cibler les appareils IdO (Internet des objets) vulnérables.

Les outils utilisés pour mener cette campagne de piratage sont tous des bots DDoS. Cependant, le bot Tsunami est unique car il fonctionne de la même manière qu’un bot IRC. Il communique aussi avec le hacker par l’intermédiaire de l’IRC. Le code source du bot DDoS Tsunami est par ailleurs accessible à tous et il est utilisé par un large éventail d’acteurs de la menace.

Le bot DDoS est principalement utilisé pour mener des exploits de piratage contre des appareils IoT. Le bot est aussi régulièrement utilisé pour cibler rapidement les serveurs Linux. Le service SSH est utilisé pour réaliser ces exploits de piratage, ce qui les rend vulnérables aux campagnes de piratage en raison d’une mauvaise gestion.

L’exploit prend également en charge un large éventail d’autres fonctionnalités, telles que la connexion à distance et le contrôle du système pour les administrateurs. Il exige aussi que ces administrateurs se connectent à l’aide de leurs comptes d’utilisateur enregistrés.

Une personne malveillante peut utiliser des données de connexion de base telles que le nom d’utilisateur et le mot de passe dans un système Linux. Ces informations sont utilisées par l’acteur de la menace pour accéder au système par le biais d’une campagne de force brute et en utilisant une liste préétablie de tous les mots de passe qui pourraient être considérés comme communs.

Lorsqu’un acteur de la menace cible des serveurs SSH Linux qui n’ont pas été correctement gérés, il recherche les serveurs exposés en scannant des ports spécifiques. Les attaquants tentent ensuite d’entrer en utilisant les identifiants de comptes connus pour mener des attaques par dictionnaire et obtenir un accès non autorisé.

Comment fonctionne ce logiciel malveillant

Les chercheurs ont indiqué qu’après s’être connecté, l’attaquant lance une commande qui télécharge et lance différentes formes de logiciels malveillants. L’un des logiciels malveillants installés est un script Bash connu sous le nom de fichier clé. Ce logiciel malveillant joue le rôle de téléchargeur et installe d’autres logiciels malveillants.

Après avoir téléchargé le logiciel malveillant, le fichier clé exécutera également diverses tâches pour prendre le contrôle des systèmes infectés. Ces tâches comprennent la création d’un compte SSH caché qui peut être utilisé comme porte dérobée.

Les différents types de logiciels malveillants installés à l’aide de la commande exécutée et du script Bash downloader comprennent Downloader Bash, les bots DDoS ShellBot et Tsunami, MIG Logcleaner v2.0. 0x333shadow Log Cleaner, le logiciel malveillant d’escalade de privilèges et XMRig CoinMiner.

ShellBot est un bot DDoS qui utilise le protocole IRC pour communiquer. Ce bot prend en charge un large éventail de fonctions, telles que le balayage de ports, les attaques par inondation UDP, les attaques par inondation TCP et les attaques par inondation HTTP.

Le groupe Tsunami est resté actif après avoir repris ses activités. Le bot DDoS a été déguisé en utilisant des noms de processus système courants. Parmi les commandes de contrôle à distance prises en charge par Tsunami figurent l’exécution de commandes Shell et les shells inversés.

Les autres commandes prises en charge par ce bot DDoS comprennent la collecte d’informations sur le système, l’exécution automatique de mises à jour et le téléchargement de charges utiles supplémentaires à partir d’une source externe.

Pour se débarrasser de toute trace d’accès non autorisé sur les ordinateurs compromis, l’acteur de la menace utilisera MIG Logcleaner v2.0 et Shadow Log Cleaner. Ce processus retardera la détection rapide des infections attribuées aux différentes victimes.

Dans ce type d’attaques, le logiciel malveillant utilisé par les hackers se présente sous la forme d’un fichier « ELF ». L’acteur de la menace dispose également de privilèges élevés sur l’appareil de l’utilisateur, ce qui lui permet d’infiltrer le système.

Comment atténuer ces attaques ?

Les chercheurs en cybersécurité ont proposé différents moyens d’atténuer ces attaques. Les utilisateurs de serveurs Linux doivent utiliser des mots de passe et des clés SSH solides pour limiter ces attaques. Un utilisateur doit également désactiver son accès à la racine via SSH.

Les utilisateurs doivent aussi prendre des mesures pour restreindre l’accès au serveur en utilisant une plage spécifique d’adresses IP. Il convient en outre de veiller à ce que le port SSH par défaut soit remplacé par un numéro moins populaire afin d’éviter l’utilisation de bots automatisés et de scripts d’infection.