Спецпроекты

Безопасность

Создан самораспространяющийся майнинговый ботнет, захватывающий слабозащищенные SSH-серверы

Группировка Outlaw автоматизировала брутфорс-атаки на SSH-серверы, так что ее ботнет разрастается по тем же принципам, по которым когда-то распространялись вирусы-«черви».

Все ходы записаны

Эксперты компании Elastic Security Labs опубликовали исследование кибергруппировки, создавшей «самораспространяющийся» ботнет Outlaw, который устанавливает на скомпрометированные системы криптомайнеры. Оператором ботнета является одноименная группировка, также известная как Dota. Основной мишенью оказываются SSH-серверы со слабыми реквизитами доступа.

«Outlaw - это вредоносная программа под Linux, которая осуществляет брутфорс атаки по SSH, генерацию криптовалют и которая полагается на механизм распространения и установления контроля над системами, типичный для вирусов-«червей», - говорится в публикации.

Группировка Outlaw активна, самое позднее, с 2018 г. Она начинала с ручного брутфорса против SSH-серверов. После первичного проникновения на хост злоумышленники добавляли собственные SSH-ключи в файл authorized_keys («авторизованные ключи»).

Группировка Outlaw/Dota создала «самораспространяющийся» майнинговый ботнет

Сейчас все эти процедуры автоматизированы.

Многоэтапный процесс

Для группировки характерно использование многоэтапного процесса заражения: сперва в систему запускался скрипт-дроппер tddwrt7s.sh, который загружал архив dota3.tar.gz. Архив содержит скрипт install.sh, который, в свою очередь, запускает сразу три процедуры. Первая - это ликвидация всех присутствующих в системе майнеров, если таковые имеются, и установка модифицированного майнера XMRig.

Вторая процедура - это установка и запуск утилиты для скрытной коммуникации с контрольным сервером через IRC.

Третья - это утилита, чьей задачей является уничтожение любых других средств брутфорса и установка своих собственных.

Вредонос сканирует уязвимые системы с активными SSH-службами с помощью встроенного компонента BLITZ. Адреса, а также список возможных реквизитов доступа к таким системам BLITZ скачивает с контрольного сервера. Кроме этого сканируется локальная подсеть на предмет других уязвимых систем, доступных через SSH.

На все скомпрометированные системы выгружается все тот же архив dota3.tar.gz.

Исследователи обращают внимание на то, что вредонос прячется в скрытых каталогах, а также модифицирует разрешения файлов и создает новые задачи для планировщика cron, чтобы обеспечить себе постоянство присутствия.

Деятельность Outlaw прежде освещала также фирма TrendMicro, которая еще в 2020 г. отмечала пристальное внимание группировки к таким уязвимостям как CVE-2016-8655 (уязвимость в компоненте ядра Linux, вызывающая состояние гонки) и CVE-2016-5195 (такая же уязвимость в другом компоненте ядра Linux). Но сейчас, судя по всему, они переключились на более банальный брутфорс.

«В публикации Elastic не указывается, каков размер этого ботнета, то есть, насколько действенен сравнительно низкотехнологичный подход группировки», - говорит Александр Зонов, эксперт по информационной безопасности компании SEQ.

Эксперт отметил, что по запросу «SSH» поисковик Shodan.io выводит 43,5 млн систем по всему миру - и это потенциально уязвимые ресурсы. Учитывая, что атаки Outlaw осуществляются в автоматическом режиме, ботнет в теории может разрастись до гигантских масштабов.

Роман Георгиев

Короткая ссылка