Des criminels utilisent IRC pour infiltrer 7 000 serveurs Linux
TL;DR
Une nouvelle botnet appelée <strong>SSHStalker</strong> a compromis près de <strong>7 000 serveurs Linux</strong> à travers le monde, révélant des techniques d'attaque innovantes et une infrastructure résiliente.
Une nouvelle botnet appelée SSHStalker a compromis près de 7 000 serveurs Linux à travers le monde. Une botnet est un réseau d'ordinateurs infectés qui sont contrôlés à distance par des criminels. L'opération a été découverte par la société de sécurité Flare lors d'une surveillance avec des mots de passe faibles pour attirer les envahisseurs.
Après deux mois d'enquête, l'équipe a identifié un nouveau schéma d'attaque sans précédent. Ce qui se distingue, c'est la fusion de techniques anciennes avec une automatisation moderne, entraînant une infrastructure résistante à la désactivation.
L'utilisation de l'IRC comme système de contrôle
SSHStalker utilise IRC (Internet Relay Chat) comme son système de contrôle, un protocole de communication populaire dans les années 90. Bien qu'il soit considéré comme obsolète, l'IRC est bon marché et possède de multiples points de sauvegarde, ce qui le rend attrayant pour les criminels.
L'opération a adapté EnergyMech, un cadre à l'origine conçu pour gérer des canaux IRC, pour coordonner les machines infectées. Les activités se déroulent dans des salles de discussion qui semblent normales.
Pour éviter la détection, les bots utilisent de fausses identités, se mêlant à de vrais utilisateurs à travers des pseudonymes variés, y compris des argots roumains et des références culturelles.
Fonctionnement de l'attaque
L'attaque commence par des balayages à la recherche de serveurs SSH vulnérables. Les attaquants utilisent un scanner faux appelé "nmap", développé en Golang, qui se propage automatiquement infectant des ordinateurs et cherchant de nouvelles cibles.
En trouvant un serveur avec le port 22 ouvert, l'attaque de force brute commence en utilisant des mots de passe courants comme "admin/admin" ou "root/123456". Une fois compromis, plutôt que d'installer un virus déjà prêt, les attaquants installent le GCC, un compilateur qui transforme le code source en exécutables, créant des variations uniques de malware.
Le malware s'installe avec deux bots pratiquement identiques connectés à des serveurs différents, garantissant que si l'un échoue, l'autre continuera à fonctionner.
Au deuxième stade, un package malveillant appelé "GS" est téléchargé, contenant des composants qui ajustent l'installation pour différentes distributions Linux, ainsi que des scripts qui effacent les journaux d'accès.
Persistance du malware
Une des tactiques les plus sophistiquées de SSHStalker est sa capacité à persister dans le système. Le malware crée une tâche dans cron, le planificateur de tâches de Linux, qui vérifie chaque minute si le malware est actif, le réactivant rapidement s'il est supprimé.
Pour augmenter la difficulté de suppression, le malware fonctionne en mémoire RAM, utilisant un système temporaire. Les fichiers disparaissent après le redémarrage, mais la tâche de réactivation les recrée immédiatement.
Exploitation des vulnérabilités anciennes
Des chercheurs ont trouvé sur le serveur des attaquants un arsenal de 81 exploits couvrant 16 CVE (Vulnérabilités et Expositions Communes). Étonnamment, beaucoup visent des versions anciennes du noyau Linux de la série 2.6.x, courantes entre 2009 et 2010.
Bien que les systèmes modernes soient protégés, on estime qu'entre 1% et 3% des serveurs sur Internet sont encore vulnérables, des chiffres qui montent à 5% à 10% dans des environnements hérités.
Impacts sur le minage de cryptomonnaies et le vol de données
Les opérations de la botnet ont inclus l'installation de programmes pour le minage de cryptomonnaies, utilisant la puissance de traitement des machines affectées, ainsi que des outils pour le vol de crédentials sur Amazon Web Services.
Des outils dédiés explorent des sites mal configurés à la recherche de clés d'accès exposées, permettant aux criminels de prendre le contrôle total de l'infrastructure dans le cloud.
Origine possible des attaquants
Des analyses indiquent une origine roumaine possible pour le code malveillant. Bien que le dépôt contienne des scripts en plusieurs langues, les artefacts en roumain suggèrent une origine authentique.
Les études de nomenclature et d'argot renforcent l'hypothèse. SSHStalker présente des similitudes avec d'autres opérations associées à la criminalité organisée d'Europe de l'Est, mais il n'y a pas de lien direct prouvé.
Cette situation révèle un scénario préoccupant sur la cybersécurité, important pour les entreprises et les utilisateurs habituels. L'augmentation des technologies d'attaque et l'exploitation de vulnérabilités anciennes exigent une attention constante des professionnels de la sécurité.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
