IoT устройства и мрежово оборудване под Linux са подложени на

IoT устройства и мрежово съоръжение под Linux са подложени на масирана хакерска офанзива
(снимка: CC0 Public Domain)

М ащабна акция, ориентирана към Linux мрежови устройства, разкриха експертите по сигурност на Microsoft. Използвайки техниката на „ груба мощ ”, н ападателите конфигурират „ задни малки врати ” и „ криптомайнери ” в инфектираните системи .

Атакувани са устройства за „ интернет на нещата ” (IoT) и друго мрежово съоръжение под Linux, налично през интернет. Нападателите ползват „ груба мощ ” за отгатване на паролите, получат първичен достъп до системата и по-късно конфигурират троянски пакет OpenSSH, който работи като задна малка врата, крадат идентификационните данни за достъп до SSH и се настаняват непрекъснато в инфектираната система.

„ Инсталираните актуализации прибавят кукички, които прихващат паролите и ключовете на SSH връзките на устройството – както потребителско, по този начин и сървърно ”, разяснява Microsoft в бюлетин за сигурността.

Според специалистите, тези актуализации разрешават на атакуващите да получат SSH достъп с права на суперпотребител (root) и да подтиснат регистрацията на всички свои SSH сесии, като по този метод скриват наличието си. За тази цел употребяват специфична ключова дума.

Скриптът на задната малка врата (бекдор), който се конфигурира по едно и също време с троянския осъществим файл OpenSSH, прибавя два обществени ключа към файла authorized_keys за непрекъснат SSH достъп. Пакетът разрешава също на атакуващите да конфигурират руткитове (по-специално, LKM руткитове Reptile и Diamorphine), с цел да скрият следи от злонамерена активност.

Освен това злонамереният програмен продукт открива и отстрани процесите на конкурентни криптомайнери (като ги дефинира по име) или просто блокира трафика към тях посредством въвеждане на нови правила във файловете iptables и /etc/hosts. Настройките за SSH достъп на съперници също се отстраняват от authorized_keys.

В допълнение, нападателите конфигурират на атакуваното устройство версия на IRC бота с отворен код ZiggyStarTux, който се употребява за осъществяване на bash команди и, в случай че е належащо, за пускане на DDoS офанзиви. ZiggyStrTux е регистриран като systemd услуга (съответният файл е регистриран в /etc/systemd/system/network-check.service).
още по темата
Бекдорът употребява многочислени техники, с цел да си обезпечи непрекъснато наличие на компрометирани системи посредством повтаряне на изпълними файлове на голям брой места на устройството и да настройване задачи на cron, които се извършват постоянно.

Комуникациите сред ботовете на ZiggyStarTux и IRC сървърите са маскирани благодарение на поддомейн, който принадлежи на законна финансова институция от Югоизточна Азия.

По време на следствието специалистите на Microsoft откриват, че ботовете изтеглят и извършват спомагателни скриптове на Shell за „ груби офанзиви ” на всеки деен хост в подмрежата, където се намира компрометираното устройство, и конфигурират задни малки врати в тях.

Един от скриптовете, които хакерите качват на атакуваните устройства, изтегля списък със злотворен програмен продукт, написан особено за Hiveon OS – основана на Linux операционна система с отворен код, предопределена за криптокопаене.

Microsoft е проследила уредника на акцията, стигайки до псевдоним в хакерския конгрес cardingforum.cx. Потребителят asterzeu предлага голям брой принадлежности за хакване, в това число SSH бекдор. През 2015 година, съдейки по пощенския адрес, същият консуматор записва домейна madagent.tm. Свързаните с него сървъри също употребяват домейна madagent.cc и това е един от командните и контролните сървъри на ZiggyStarTux.

Задната малка врата е била употребена от няколко нападатели едновременно, съгласно обява на Microsoft, което демонстрира съществуването на цяла мрежа от принадлежности и инфраструктура. Тя се популяризира на сътрудници или се продава на хакерски платформи, съгласно модела „ малуер като услуга ”.

Microsoft предлага усилване на отбраната на мрежовите устройства, налични през интернет, инсталиране на всички най-нови актуализации и като цяло ограничение на SSH достъпа доколкото е допустимо, с цел да се обезсмислят офанзивите с груба мощ.