Botnet SSHStalker infeta sete mil sistemas Linux

Uma nova botnet Linux, designada SSHStalker, está a recorrer a exploits e técnicas com mais de uma década e meia para comprometer sistemas expostos à internet, segundo uma análise da empresa de cibersegurança Flare.

De acordo com a investigação, a infraestrutura utiliza ferramentas de 2009, incluindo um bot baseado em Internet Relay Chat (IRC) e 19 exploits direcionados ao kernel Linux. A campanha terá já comprometido aproximadamente sete mil sistemas.

A cadeia de infeção assenta num modelo de comprometimento massivo, com recurso a scanners SSH e à implementação de múltiplas variantes de bots IRC desenvolvidas em C, além de uma variante em Perl. São também utilizados malware como Tsunami e Keiten, bem como redundância de servidores e canais IRC, o que sugere uma operação oportunista e não direcionada.

A botnet executa tarefas agendadas a cada minuto através de cron para garantir persistência, recorrendo a um modelo de relançamento do tipo watchdog “update”. Durante o processo são distribuídos diversos scanners e componentes adicionais nas máquinas infetadas.

A análise da Flare identificou o envio de quase duas dezenas de ficheiros e binários ao longo do fluxo de ataque. Numa primeira fase, após a execução de um scanner SSH, são instaladas duas variantes quase idênticas de bot controlado por IRC. Na segunda fase, é implementado um bot em Perl para comunicação de command-and-control (C&C), bem como scripts para persistência, escalada de privilégios e limpeza de logs.

Na fase final é descarregado um ficheiro comprimido com oito componentes adicionais, incluindo a lógica para criação de uma tarefa cron que executa um script de atualização a cada minuto. Segundo a Flare, estes scripts parecem ter sido concebidos para executar um builder de botnet IRC.

Os artefactos da SSHStalker apresentam semelhanças com operações anteriores associadas a atores ligados à Roménia, como as botnets Outlaw e Dota. No entanto, não foi identificada uma ligação direta às campanhas históricas, o que pode indicar um operador derivado ou um copycat.

A investigação revelou ainda indícios da utilização do bot EnergyMech, que disponibiliza capacidades completas de C&C via IRC, bem como a presença de kits de cryptomining e uso de terminologia típica para se misturar com tráfego legítimo em redes IRC públicas.

Apesar de ter sido identificado o servidor IRC associado à botnet, a Flare não observou comunicações operacionais ativas, sugerindo que a infraestrutura poderá estar inativa ou em fase de preparação. O comportamento do canal limitava-se a ligações e desconexões de utilizadores, sem sinais visíveis de coordenação operacional.

A ferramenta visa versões antigas do Linux em execução em sistemas legacy. Segundo a Flare, estas representam cerca de 1% a 3% dos servidores Linux acessíveis via internet, podendo atingir 5% a 10% em ambientes de long tail, como fornecedores de alojamento legacy, imagens VPS abandonadas, appliances desatualizados, equipamentos industriais ou implementações embebidas de nicho.

Embora a botnet recorra a exploits open source frequentemente utilizados por atores de baixo a médio nível, a seleção curada de exploits ao kernel indica um nível de maturidade operacional moderado, conclui a empresa de cibersegurança.