Ботнет SSHStalker
Аналітики з кібербезпеки виявили ботнет-операцію під назвою SSHStalker, яка використовує протокол Internet Relay Chat (IRC) для комунікації типу «командування та управління» (C2). Поєднуючи традиційні механізми ботнету IRC з автоматизованими методами масового злому, ця кампанія відображає розрахований та методичний підхід до проникнення в інфраструктуру.
На відміну від сучасних ботнетів, які надають пріоритет швидкій монетизації, SSHStalker робить акцент на наполегливості та контрольованому розширенні, сигналізуючи про потенційно стратегічну мету, а не про негайний фінансовий прибуток.
Зміст
Стратегія експлуатації: атака на забутих та непатованих
В основі SSHStalker лежить навмисна зосередженість на застарілих системах Linux. Інструментарій містить колекцію з 16 вразливостей ядра Linux, багато з яких датуються 2009 та 2010 роками. Хоча ці експлойти здебільшого неефективні проти сучасних, повністю виправлених систем, вони залишаються життєздатними проти застарілої або занедбаної інфраструктури.
Серед помітних вразливостей, використаних у кампанії, є CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 та CVE-2010-3437. Така залежність від старих вразливостей демонструє прагматичну стратегію: використання застарілих середовищ з довгим хвостом, які часто вислизають від сучасного нагляду безпеки.
Черв’якоподібне розширення через автоматизацію SSH
SSHStalker інтегрує можливості автоматизованого сканування для розширення свого охоплення. Сканер на базі Golang активно досліджує порт 22, щоб виявити системи, що розкривають SSH-сервіси. Після виявлення вразливі хости скомпрометовуються та реєструються в IRC-каналах, фактично розширюючи ботнет, подібно до черв'яків.
Під час зараження розгортається кілька корисних навантажень, включаючи варіанти бота, керованого IRC, та файлового бота на основі Perl. Ці компоненти підключаються до сервера UnrealIRCd, приєднуються до призначених каналів керування та очікують інструкцій. Інфраструктура підтримує скоординовані атаки трафіку у стилі флуду та централізоване управління ботами.
Незважаючи на ці можливості, кампанія помітно утримується від участі у звичайних заходах з монетизації після експлуатації, таких як розподілені атаки типу «відмова в обслуговуванні», проксіджекінг або майнінг криптовалюти. Натомість скомпрометовані системи залишаються здебільшого неактивними, зберігаючи постійний доступ. Такий обмежений операційний стан передбачає потенційні варіанти використання, такі як проміжне розміщення, збереження доступу або майбутні скоординовані операції.
Прихованість, наполегливість та антикриміналістика
Прихованість операцій є визначальною рисою SSHStalker. Шкідливе програмне забезпечення використовує утиліти очищення журналів, які маніпулюють записами utmp, wtmp та lastlog, щоб приховати несанкціонований доступ SSH. Для видалення слідів шкідливої активності з системних журналів виконуються спеціальні програми на C, що зменшує видимість для експертів.
Для забезпечення стійкості інструментарій включає механізм підтримки активності, призначений для перезапуску основного процесу шкідливого програмного забезпечення протягом 60 секунд у разі його завершення. Ця стратегія збереження активності підвищує стійкість у скомпрометованих середовищах.
Інфраструктура підготовки та арсенал наступальних засобів
Аналіз пов’язаної з цим інфраструктури демонстрації виявив широке сховище агресивних інструментів та раніше задокументованого шкідливого програмного забезпечення. Набір інструментів включає:
- Руткіти, розроблені для покращення прихованості та підтримки стійкості
- Майнери криптовалюти
- Скрипт Python, який виконує двійковий файл під назвою «website grabber» для збору розкритих облікових даних Amazon Web Services (AWS) з вразливих вебсайтів.
- EnergyMech, IRC-бот, що забезпечує командне керування та дистанційне виконання команд
Ця колекція висвітлює гнучку операційну структуру, здатну адаптуватися до численних цілей атаки.
Підказки атрибуції та операційне перекриття
Індикатори в IRC-каналах та списках слів у конфігурації вказують на можливе румунське походження, включаючи наявність прізвиськ та сленгу в румунському стилі. Крім того, операційні характеристики значно перетинаються з характеристиками хакерської групи, відомої як Outlaw (також відомої як Dota), що вказує на потенційну приналежність або спільне ремесло.
Зріла оркестровка замість експлуатації нового
SSHStalker не покладається на вразливості нульового дня чи розробку новаторських руткітів. Натомість кампанія демонструє дисциплінований операційний контроль та ефективну оркестрацію. Основний бот та низькорівневі компоненти переважно написані на C, а сценарії оболонки керують збереженням та автоматизацією. Python та Perl вибірково використовуються для допоміжних функцій та допоміжних завдань у ланцюжку зараження.
Ця кампанія є прикладом структурованого, масштабованого робочого процесу масового компрометування, який наголошує на переробці інфраструктури, автоматизації та довгостроковій стійкості в різноманітних середовищах Linux. Замість інновацій, її сила полягає у виконанні, координації та стратегічному використанні недооцінених систем.
