Microsoft алармира за активна кампания към Линукс и IoT устройства
Microsoft предупреди за нова активна кампания, насочена срещу устройства и системи на основата на Линукс.
На страниците на един от блоговете на компанията, хората от Threat Intelligence екипа споделят подробности за атаките. Те започват с търсенето и откриването на слабо защитени Линукс и Iot устройства, имащи връзка с Интернет. След като си осигурят достъп до устройството, те свалят създаден от тях архив, в който се намира стандартна версия на OpenSSH, но също така и бекдор програма, насочена към множество архитектури shell скрипт, съдържащ инструкции за поведението на бекдор програмата. След това хакерите изпълняват скрипт, който подготвя системата за следващите им действия. Системата бива профилирана и се изпълнява проверка дали не работи във виртуална среда и всичко това се изпраща към контролиран от тях сървър по имейл. Следва инсталацията на две бекдор програми (Diamorphine и Reptile – свободно достъпни за сваляне от GitHub. Задачата им е да прикрият присъствието на хакерите в системата и да се осигури постоянен достъп на зловредния софтуер по SSH с поставянето на два публични ключа към authorized_keys файловете, с ниво на достъп за всички потребители, а след това трие логовете, за да не може да се открие достъпа на хакерите.
Настоящата кампания има за главна цел неразрешения добив на криптовалута и поради тази причина, следващата стъпка на хакерите е да се уверят, че само те ще крадат ресурси. Един от последните ходове тук влиза в употреба и спомената конфигурационните файлове на нормален OpenSSH софтуер. Използвайки вградения в Линукс инструмент за пачване с подготвен предварително файл, хакерите компилират и инсталират зловредния SSH инструмент в системата. Освен осигуряването на постоянен достъп до устройството, това дава достъп и до SSH данните за свързване на администриращия системата. Споменатите пачове имат способността да пресичат пароли и ключове в SSH връзките, осъществявани от устройството. Програмата може да действа и като OpensSSH сървър и да компрометира допълнително устройства.
Повече за продължаващата кампания, възможни най-добри практики, които трябва да бъдат следвани, индикатори на компрометиране и използвани в кампанията адреси, може да намерите тук.