En una reciente campaƱa de cryptojacking, Microsoft ha advertido sobre los ataques que estƔn sufriendo los dispositivos Linux e Internet de las cosas (IoT) expuestos a Internet. Los atacantes estƔn llevando a cabo una estrategia de fuerza bruta para secuestrar estos dispositivos, comprometiƩndolos y robando las credenciales de SSH para mantener el acceso persistente.
La tĆ©cnica utilizada implica la implementaciĆ³n de un paquete OpenSSH con troyanos una vez que los atacantes obtienen acceso a un sistema. Estos troyanos actĆŗan como ganchos, interceptando contraseƱas y claves de conexiones SSH tanto en clientes como en servidores. AdemĆ”s, permiten el inicio de sesiĆ³n raĆz a travĆ©s de SSH y ocultan su presencia al suprimir el registro de las sesiones SSH, todo ello con el objetivo de mantener una persistencia sin ser detectados.
Atacantes utilizan paquetes OpenSSH para secuestrar dispositivos Linux
Como parte del ataque, se implementa un script de shell de puerta trasera junto con el binario OpenSSH troyano. Este script agrega dos claves pĆŗblicas al archivo authorized_keys, lo que proporciona un acceso SSH persistente.
AdemĆ”s, permite a los actores de amenazas recopilar informaciĆ³n del sistema e instalar rootkits de cĆ³digo abierto, como Reptile y Diamorphine, para ocultar su actividad maliciosa.
Los atacantes tambiƩn utilizan la puerta trasera para eliminar a otros mineros, aƱadiendo reglas de iptables y modificando /etc/hosts para reducir el trƔfico hacia los hosts e IP utilizados por competidores de cryptojacking.
AdemƔs, identifican y finalizan los procesos y archivos mineros de otros adversarios, eliminando su acceso SSH configurado en claves_autorizadas.
En este ataque, tambiĆ©n se implementa una versiĆ³n del bot IRC de cĆ³digo abierto llamado ZiggyStarTux, que cuenta con capacidades de denegaciĆ³n de servicio distribuido (DDoS) y permite a los operadores ejecutar comandos bash.
Para asegurar su persistencia en los sistemas comprometidos, el malware de puerta trasera duplica el binario en varias ubicaciones de disco y crea trabajos CRONĀ para ejecutarlo periĆ³dicamente.
AdemƔs, se registra ZiggyStarTux como un servicio de systemd, configurando el archivo de servicio en /etc/systemd/system/network-check.service.
El trĆ”fico de comunicaciĆ³n C2 entre los bots de ZiggyStarTux y los servidores de IRC se camufla utilizando un subdominio que pertenece a una instituciĆ³n financiera legĆtima del sudeste asiĆ”tico alojada en la infraestructura del atacante.
Durante la investigaciĆ³n de esta campaƱa, Microsoft observĆ³ cĆ³mo los bots descargaban y ejecutaban scripts de shell adicionales para aplicar fuerza bruta a cada host en vivo en la subred del dispositivo pirateado y a la puerta trasera en cualquier sistema vulnerable que utilizara el paquete OpenSSH troyano.
El objetivo final de los atacantes parece ser la instalaciĆ³n de malware de minerĆa en sistemas Hiveon OS basados en Linux, diseƱados especĆficamente para criptominerĆa.
Microsoft advierte que esta versiĆ³n modificada de OpenSSH puede representar un mayor desafĆo para la detecciĆ³n debido a su apariencia y comportamiento similares a los de un servidor OpenSSH legĆtimo.
AdemƔs, este ataque demuestra las tƩcnicas y la persistencia de los adversarios que buscan infiltrarse y controlar dispositivos expuestos.
El uso de contraseƱas seguras y la implementaciĆ³n de parches actualizados son medidas clave para proteger los dispositivos Linux e IoT de este tipo de ataques.
Es fundamental que los usuarios estĆ©n al tanto de las Ćŗltimas amenazas y tomen las precauciones necesarias para salvaguardar sus sistemas.
