E’ di qualche giorno fa la notizia che i sistemi Linux, già da Novembre scorso, sono nuovamente sotto attacco.
Il motivo? Come spesso accade negli ultimi tempi, l’acquisizione di cryptovalute, Monero per essere più precisi.
L’attacco sviluppato da “Outlaw group” ha lo scopo di utilizzare le risorse del sistema infettato per minare (ovvero cercare di generare) questa particolare criptovaluta, utilizzando una versione opportunatamente modificata di Shellbot, un Trojan che crea un tunnel tra l’host infetto ad un server C2 (command-and-control) gestito dagli attaccanti.
In questi giorni, appunto, il team di ricerca JASK Special Ops ha rilasciato un PDF molto dettagliato che spiega nel dettaglio il vettore di attacco, i payload (ovvero i software che permettono di eseguire operazioni) caricati sulle macchine infette e l’infrastruttura degli attaccanti, ma sicuramente (al netto del mining di cryptovalute) già il primo veicolo di attacco -Shellbot- è estremamente pericoloso.
Già perchè una volta infettato il sistema ed aperta la backdoor dal server C2, è subito possibile ottenere informazioni dal sistema, dati personali, terminare ed eseguire processi o scaricare sulla macchina altri payload per estendere la superficie di attacco; se uniamo il fatto che Shellbot, pur essendo un bot IRC, può essere distribuito tramite una semplice vulnerabilità di command injection che non solo può infettare sistemi “completi” Linux, ma anche diversi dispositivi IoT (Internet of Things), allora il quadro che si va a disegnare è decisamente preoccupante.
In uno degli attacchi registrati da Trend Micro a Novembre, gli attaccanti sono riusciti a compromettere un server FTP (File Transfer Protocol) di un’organizzazione artistica Giapponese ed un sito governativo del Bangladeshi; tutti questi sistemi hanno ricevuto subito alcuni payload tra cui IRC C2 botware (per prendere possesso del sistema), un malware di mining cryptovalute (Monero appunto) e haiduc, un toolkit di scansione e propagazione di rete tramite ssh.
Purtroppo i ricercatori affermano che la botnet è tutt’altro che in fase regressiva anzi, sta continuando ad espandersi e, considerando che i due metodi iniziali più comuni di infezione sono un attacco DOS (Denial Of Service) e, soprattutto, un mero bruteforcing ssh, il consiglio è sempre quello di tenere sott’occhio le proprie password, modificarle se troppo semplici, e controllare il proprio computer.
Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.
Lascia un commento