Los piratas informáticos apuntan a dispositivos Linux e IoT para criptominería

Microsoft ha descubierto piratas informáticos que apuntan a sistemas Linux y dispositivos IoT conectados a Internet para robar recursos informáticos para operaciones de minería de criptomonedas.

Ver también: Seminario web a pedido | Descubra por qué los CISO están adoptando estos principales casos de uso de ASM ahora

La campaña comienza por fuerza bruta en los sistemas y dispositivos de destino y luego utiliza la puerta trasera para implementar varias herramientas de código abierto como rootkits y bots de IRC para comprometer los recursos del dispositivo. ha dicho El equipo de inteligencia de amenazas de Microsoft en una publicación de blog.

Inmediatamente después del compromiso inicial, un paquete OpenSSH que contiene un troyano instala una puerta trasera que ayuda a mantener la persistencia. Los atacantes aprovechan aún más esta puerta trasera para instalar una versión parcheada de OpenSSH, que les permite secuestrar las credenciales de SSH, moverse lateralmente dentro de la red y ocultar inicios de sesión maliciosos en el dispositivo comprometido.

Una serie de rootkits de código abierto como diamorfina Y Reptil que se encuentran en GitHub también se implementan como cargas útiles adicionales para filtrar datos y ocultar actividades maliciosas en el entorno de la víctima mediante la eliminación de registros y registros del sistema.

La puerta trasera también monopoliza su propio criptominero en los recursos del sistema infectado al eliminar los procesos de criptominería de la competencia que ya pueden estar ejecutándose. «Identifica procesos y archivos mineros por nombre y los finaliza o bloquea el acceso a ellos y elimina el acceso SSH configurado en authorized_keys por otros adversarios.

Los atacantes también están implementando una versión modificada de ZiggyStarTux, un cliente DDoS basado en IRC capaz de ejecutar comandos bash emitidos desde el servidor de comando y control. Este bot de IRC se basa en otra botnet de malware llamada Kaiten.

ZiggyStarTux se registra como un servicio del sistema, configurando el archivo de servicio para /etc/systemd/system/network-check.service. La comunicación entre los bots ZiggyStarTux y el servidor de comando y control de los atacantes se realiza a través de servidores IRC que utilizan un subdominio perteneciente a una institución financiera legítima del sudeste asiático alojada en la infraestructura del atacante.

Estos bots también son responsables de descargar y ejecutar secuencias de comandos adicionales para aplicar fuerza bruta a cada host en la subred y la puerta trasera del dispositivo pirateado, así como a todos los sistemas vulnerables que utilizan el paquete OpenSSH troyano.

El propósito de los bots es mantener la persistencia e implementar malware de minería diseñado para los sistemas Hiveon OS, que son sistemas operativos de código abierto basados ​​en Linux diseñados para criptominería.

Microsoft atribuyó la campaña a un usuario llamado «asterzeu» en la cardingforum.cx foro de hacking El usuario ofreció varias herramientas a la venta en la plataforma, incluida una puerta trasera SSH, dijo Microsoft.

La divulgación de Microsoft se produce dos días después de que publicara un informe sobre una campaña similar. publicado por el Centro de Respuesta a Emergencias de Seguridad AhnLab. La campaña de ataque consiste en instalar el bot Tsunami, otro nombre para Kaiten, DDoS en servidores Linux SSH mal administrados, según el informe. Como se observó en el análisis de Microsoft, Tsunami también instaló otras herramientas y malware de criptominería y ofuscación, como ShellBot, XMRig CoinMiner y Log Cleaner.

No se pudieron establecer vínculos entre las dos campañas y los informes porque Microsoft y ASEC no respondieron de inmediato a las solicitudes de información de Information Security Media Group.

“La complejidad y el alcance de este ataque son indicativos de los esfuerzos que han realizado los atacantes para evadir la detección”, dijo Microsoft. «La versión modificada de OpenSSH imita la apariencia y el comportamiento de un servidor OpenSSH legítimo y, por lo tanto, puede presentar un mayor desafío para la detección que otros archivos maliciosos. Este tipo de ataque demuestra las técnicas y la persistencia de los adversarios que buscan infiltrarse y controlar los dispositivos expuestos».