Delincuentes utilizan IRC para invadir 7 mil servidores Linux

Una nueva botnet llamada SSHStalker comprometió casi 7 mil servidores Linux alrededor del mundo. La botnet es una red de computadoras infectadas que son controladas remotamente por delincuentes. La operación fue descubierta por la empresa de seguridad Flare durante un monitoreo con contraseñas débiles para atraer invasores.

Después de dos meses de investigación, el equipo identificó un patrón de ataque nuevo y sin precedentes. Lo que destaca es la fusión de técnicas antiguas con automatización moderna, resultando en una infraestructura resistente a la desactivación.

El uso de IRC como sistema de control

SSHStalker utiliza IRC (Internet Relay Chat) como su sistema de control, un protocolo de comunicación popular en los años 90. Aunque se considera obsoleto, el IRC es barato y tiene múltiples puntos de respaldo, lo que lo hace atractivo para los delincuentes.

La operación adaptó EnergyMech, un marco originalmente diseñado para gestionar canales de IRC, para coordinar las máquinas infectadas. Las actividades se realizan en salas de chat que aparentan ser normales.

Para evitar la detección, los bots utilizan identidades falsas, mezclándose con usuarios reales a través de apodos variados, incluyendo jerga rumana y referencias culturales.

Funcionamiento del ataque

El ataque comienza con escaneos en busca de servidores SSH vulnerables. Los atacantes utilizan un escáner falso llamado "nmap", desarrollado en Golang, que se propaga automáticamente infectando computadoras y buscando nuevos objetivos.

Al encontrar un servidor con el puerto 22 abierto, comienza el ataque de fuerza bruta usando contraseñas comunes como "admin/admin" o "root/123456". Una vez comprometido, en lugar de instalar un virus ya preparado, los atacantes instalan el GCC, un compilador que transforma código fuente en ejecutables, creando variaciones únicas de malware.

El malware se instala con dos bots prácticamente idénticos conectados a diferentes servidores, asegurando que, si uno falla, el otro continuará operando.

En la segunda etapa, se descarga un paquete malicioso llamado "GS", que contiene componentes que ajustan la instalación para diferentes distribuciones de Linux, además de scripts que eliminan registros de acceso.

Persistencia del malware

Una de las tácticas más sofisticadas de SSHStalker es su capacidad de persistir en el sistema. El malware crea una tarea en el cron, programador de tareas de Linux, que verifica cada minuto si el malware está activo, reactivándolo rápidamente en caso de ser eliminado.

Para aumentar la dificultad de eliminación, el malware opera en memoria RAM, utilizando un sistema temporal. Los archivos desaparecen tras el reinicio, pero la tarea de reactivación los recrea de inmediato.

Explotación de vulnerabilidades antiguas

Investigadores encontraron en el servidor de los atacantes un arsenal de 81 exploits que cubren 16 CVE (Vulnerabilidades y Exposiciones Comunes). Sorprendentemente, muchos apuntan a versiones antiguas del kernel Linux de la serie 2.6.x, comunes entre 2009 y 2010.

Aunque los sistemas modernos están protegidos, se estima que entre 1% y 3% de los servidores en internet aún son vulnerables, cifras que aumentan a 5% a 10% en entornos heredados.

Impactos en la minería de criptomonedas y robo de datos

Las operaciones de la botnet incluyeron la instalación de programas para la minería de criptomonedas, utilizando el poder de procesamiento de las máquinas afectadas, además de herramientas para el robo de credenciales de Amazon Web Services.

Herramientas dedicadas rastrean sitios mal configurados en busca de claves de acceso expuestas, permitiendo que los delincuentes tomen control total sobre la infraestructura en la nube.

Posible origen de los atacantes

Análisis indican un posible origen rumano para el código malicioso. Aunque el repositorio contiene scripts en varios idiomas, los artefactos en rumano sugieren un origen auténtico.

Estudios de nomenclatura y jerga refuerzan la hipótesis. SSHStalker presenta similitudes con otras operaciones asociadas al crimen organizado de Europa del Este, pero no hay una conexión directa comprobada.

Esta situación revela un escenario preocupante sobre la seguridad cibernética, importante para empresas y usuarios comunes. El aumento de tecnologías de ataque y la explotación de vulnerabilidades antiguas demandan atención constante de los profesionales de seguridad.