Criminosos utilizam IRC para invadir 7 mil servidores Linux
TL;DR
Uma nova botnet chamada SSHStalker comprometeu quase 7 mil servidores Linux ao redor do mundo, utilizando técnicas de ataque modernas sobre tecnologias antigas, com um enfoque no IRC como sistema de controle.
Uma nova botnet chamada SSHStalker comprometeu quase 7 mil servidores Linux ao redor do mundo. Botnet é uma rede de computadores infectados que são controlados remotamente por criminosos. A operação foi descoberta pela empresa de segurança Flare durante um monitoramento com senhas fracas para atrair invasores.
Após dois meses de investigação, a equipe identificou um padrão de ataque novo e sem precedentes. O que se destaca é a fusão de técnicas antigas com automação moderna, resultando em uma infraestrutura resistente a desativação.
O uso do IRC como sistema de controle
SSHStalker utiliza IRC (Internet Relay Chat) como seu sistema de controle, um protocolo de comunicação popular nos anos 90. Embora considerado ultrapassado, o IRC é barato e possui múltiplos pontos de backup, o que o torna atrativo para os criminosos.
A operação adaptou o EnergyMech, um framework originalmente projetado para gerenciar canais de IRC, para coordenar as máquinas infectadas. As atividades são realizadas em salas de chat que aparentam ser normais.
Para evitar a detecção, os bots utilizam identidades falsas, misturando-se com usuários reais através de apelidos variados, incluindo gírias romenas e referências culturais.
Funcionamento do ataque
O ataque inicia com varreduras em busca de servidores SSH vulneráveis. Os atacantes utilizam um scanner falso chamado "nmap", desenvolvido em Golang, que se espalha automaticamente infectando computadores e procurando novos alvos.
Ao encontrar um servidor com a porta 22 aberta, inicia-se o ataque de força bruta usando senhas comuns como "admin/admin" ou "root/123456". Uma vez comprometido, em vez de instalar um vírus já pronto, os atacantes instalam o GCC, um compilador que transforma código-fonte em executáveis, criando variações únicas de malware.
O malware se instala com dois bots praticamente idênticos conectados a diferentes servidores, garantindo que, se um falhar, o outro continuará a operar.
No segundo estágio, um pacote malicioso chamado "GS" é baixado, contendo componentes que ajustam a instalação para diferentes distribuições Linux, além de scripts que apagam registros de acesso.
Persistência do malware
Uma das táticas mais sofisticadas do SSHStalker é sua capacidade de persistir no sistema. O malware cria uma tarefa no cron, agendador de tarefas do Linux, que verifica a cada minuto se o malware está ativo, reativando-o rapidamente caso seja removido.
Para aumentar a dificuldade de remoção, o malware opera em memória RAM, utilizando um sistema temporário. Os arquivos desaparecem após a reinicialização, mas a tarefa de reativação os recria de imediato.
Exploração de vulnerabilidades antigas
Pesquisadores encontraram no servidor dos atacantes um arsenal de 81 exploits que cobrem 16 CVE (Common Vulnerabilities and Exposures). Surpreendentemente, muitos visam versões antigas do kernel Linux da série 2.6.x, comuns entre 2009 e 2010.
Embora sistemas modernos estejam protegidos, estima-se que entre 1% e 3% dos servidores na internet ainda sejam vulneráveis, números que sobem para 5% a 10% em ambientes legados.
Impactos na mineração de criptomoedas e roubo de dados
As operações da botnet incluiram a instalação de programas para mineração de criptomoedas, utilizando o poder de processamento das máquinas afetadas, além de ferramentas para roubo de credenciais da Amazon Web Services.
Ferramentas dedicadas vasculham sites mal configurados em busca de chaves de acesso expostas, permitindo que os criminosos tomem controle total sobre a infraestrutura na nuvem.
Possível origem dos atacantes
Análises indicam uma possível origem romena para o código malicioso. Embora o repositório contenha scripts em várias línguas, os artefatos em romeno sugerem uma origem autêntica.
Estudos de nomenclatura e gírias reforçam a hipótese. O SSHStalker possui semelhanças com outras operações associadas ao crime organizado do Leste Europeu, mas não há uma ligação direta comprovada.
Esta situação revela um cenário preocupante sobre a segurança cibernética, importante para empresas e usuários comuns. O aumento das tecnologias de ataque e a exploração de vulnerabilidades antigas demandam atenção constante dos profissionais de segurança.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
