Uma botnet chamada SSHStalker consegue controlar sistemas Linux usando o Internet Relay Chat (IRC), um protocolo de comunicação em tempo real que permite bate-papos privados ou em grupo. Segundo pesquisadores da empresa de cibersegurança Flare, a operação combina ferramentas furtivas e exploração de vulnerabilidades do Linux com base em exploits no kernel para obter controle do centro de comando dos dispositivos visados.
Descoberta e funcionamento
A ação maliciosa ocorre de maneira automatizada para realizar comprometimento em massa graças à mecânica de botnets vindas do IRC. O objetivo é lançar ataques de negação de serviço distribuídos (DDoS), fazer mineração de criptomoedas e promover proxyjacking. Também foi observado um acesso persistente ao sistema sem que houvesse monitoramento após a exploração. Os pesquisadores identificaram que o SSHStalker possui um scanner em Golang que vai atrás de servidores com SSH aberto exatamente na porta 22, entrada que fornece por padrão acesso remoto gratuito.
Vetor de infecção e evasão
Dessa forma, eles invadem o sistema de maneira semelhante a um worm, adicionando variantes de um bot controlado por IRC e derivados que esperam para receber um comando que acione a cadeia de infecção. Outro ponto é que os ataques promovem uma execução de arquivos de programa em C para apagar registros de conexão SSH. Isso é feito para limpar os vestígios das atividades maliciosas, dificultando a detecção por parte de especialistas.
Capacidades e alcance
Também há indicações de que o SSHStalker consegue comprometer o kernel do Linux até mesmo de versões antigas, algumas datadas de 2009. Os hackers possuem ainda um catálogo extenso de malware, além de kits de ferramentas maliciosas de código aberto para implementação nos ataques. Não se sabe ao certo como a botnet chega até os servidores, mas a suspeita da Flare é que o agente por trás da operação seja de origem romena devido a nomenclaturas e gírias típicas do local que foram encontradas em canais de IRC.
Recomendações de mitigação
Administradores de sistemas Linux devem garantir que o serviço SSH não esteja exposto à internet sem necessidade, utilizar autenticação por chaves públicas em vez de senhas, manter os sistemas atualizados com os patches mais recentes do kernel, e monitorar logs de conexão SSH em busca de atividades suspeitas ou tentativas de limpeza de registros.