רשת בוטנים של SSHStalker
אנליסטים של אבטחת סייבר חשפו פעולת בוטנט המכונה SSHStalker, הממנפת את פרוטוקול Internet Relay Chat (IRC) לתקשורת פיקוד ובקרה (C2). על ידי שילוב של מכניקות בוטנט מסורתיות של IRC עם טכניקות אוטומטיות של פריצה המונית, קמפיין זה משקף גישה מחושבת ושיטתית לחדירה לתשתיות.
בניגוד לבוטנטים מודרניים שנותנים עדיפות למונטיזציה מהירה, SSHStalker מדגיש התמדה והתרחבות מבוקרת, מה שמאותת על מטרה אסטרטגית פוטנציאלית ולא על רווח כספי מיידי.
תוכן העניינים
אסטרטגיית ניצול: מיקוד בנשכחים ובלא-תוקן
בליבת SSHStalker טמונה התמקדות מכוונת במערכות לינוקס מדור קודם. ערכת הכלים משלבת אוסף של 16 פגיעויות בליבת לינוקס, רבות מהן מתוארכות לשנים 2009 ו-2010. למרות שהן במידה רבה אינן יעילות כנגד מערכות עכשוויות שמתוקנות במלואן, פרצות אלו נותרות בת קיימא כנגד תשתית מיושנת או מוזנחת.
בין הפגיעויות הבולטות שנוצלו בקמפיין נמנות CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 ו-CVE-2010-3437. הסתמכות זו על פגמים ישנים יותר מדגימה אסטרטגיה פרגמטית: ניצול סביבות מדור קודם ארוכות זנב שלעתים קרובות חומקות מפיקוח אבטחה מודרני.
הרחבה דמוית תולעת באמצעות אוטומציה של SSH
SSHStalker משלב יכולות סריקה אוטומטיות כדי להרחיב את טווח ההגעה שלו. סורק מבוסס Golang בודק באופן פעיל את פורט 22 כדי לזהות מערכות שחושפות שירותי SSH. לאחר גילוי, מארחים פגיעים נפגעים ונרשמים לערוצי IRC, ובכך מרחיב למעשה את הבוטנט בצורה דמוית תולעת.
מספר מטענים נפרסים במהלך ההדבקה, כולל גרסאות של בוט הנשלט על ידי IRC ובוט קבצים מבוסס Perl. רכיבים אלה מתחברים לשרת UnrealIRCd, מצטרפים לערוצי בקרה ייעודיים וממתינים להוראות. התשתית תומכת בהתקפות תעבורה מתואמות בסגנון הצפה ובניהול בוטים מרכזי.
למרות יכולות אלו, הקמפיין נמנע באופן בולט מלעסוק בפעילויות מונטיזציה נפוצות לאחר ניצול, כגון התקפות מניעת שירות מבוזרות, פרוקסי-ג'קינג או כריית מטבעות קריפטוגרפיים. במקום זאת, מערכות שנפרצו נותרות רדומות ברובן, תוך שמירה על גישה מתמשכת. תנוחה תפעולית מאופקת זו מצביעה על מקרי שימוש פוטנציאליים כגון פעולות הפעלה (staging), שמירת גישה או פעולות מתואמות עתידיות.
התגנבות, התמדה ואנטי-פורנזיקה
התגנבות תפעולית היא מאפיין בולט של SSHStalker. הנוזקה פורסת כלי ניקוי יומני רישום אשר מניפולציות ברשומות utmp, wtmp ו-lastlog כדי להסתיר גישה לא מורשית ל-SSH. תוכניות C מותאמות אישית מבוצעות כדי להסיר עקבות של פעילות זדונית מיומני המערכת, ובכך להפחית את הנראות הפורנזית.
כדי להבטיח חוסן, ערכת הכלים כוללת מנגנון שמירה על זמינות (keep alive) שנועד להפעיל מחדש את תהליך הנוזקה העיקרי תוך 60 שניות אם הוא מופסק. אסטרטגיית שמירה זו מחזקת את עמידות הגישה בסביבות פגועות.
תשתית בימוי וארסנל כלי התקפי
ניתוח של תשתית הביצוע הנלווית חשף מאגר רחב של כלים פוגעניים ותוכנות זדוניות שתועדו בעבר. ערכת הכלים כוללת:
- ערכות רוטקיט שנועדו לשפר את החמקנות ולשמור על עמידות
- כורי מטבעות קריפטוגרפיים
- סקריפט Python שמבצע קובץ בינארי בשם 'website grabber' כדי לאסוף אישורים חשופים של Amazon Web Services (AWS) מאתרים פגיעים.
- EnergyMech, בוט IRC המאפשר פיקוד ובקרה וביצוע פקודות מרחוק
אוסף זה מדגיש מסגרת מבצעית גמישה המסוגלת להסתגל למטרות התקפה מרובות.
רמזים לייחוס וחפיפה תפעולית
אינדיקטורים בערוצי IRC וברשימות מילים של תצורה מצביעים על מקור רומני אפשרי, כולל נוכחות של כינויים וסלנג בסגנון רומני. בנוסף, מאפייני הפעולה חופפים באופן משמעותי לאלה של קבוצת ההאקרים המכונה Outlaw (המכונה גם Dota), דבר המצביע על שיוך פוטנציאלי או מסחר משותף.
תזמור בוגר על פני ניצול רומן
SSHStalker אינו מסתמך על פגיעויות יום אפס או פיתוח פורץ דרך של rootkit. במקום זאת, הקמפיין מדגים שליטה תפעולית ממושמעת ותזמור יעיל. רכיבי ליבה של בוט ורכיבים ברמה נמוכה נכתבים בעיקר ב-C, כאשר סקריפטי מעטפת מנהלים את ההתמדה והאוטומציה. Python ו-Perl משמשים באופן סלקטיבי עבור פונקציות שירות ומשימות תמיכה בתוך שרשרת ההדבקה.
קמפיין זה מדגים תהליך עבודה מובנה וניתן להרחבה של פשרה המונית, המדגיש מיחזור תשתיות, אוטומציה והתמדה ארוכת טווח בסביבות לינוקס מגוונות. במקום חדשנות, כוחו טמון בביצוע, תיאום וניצול אסטרטגי של מערכות שנשכחו.
