Οι συσκευές Linux και Internet of Things (IoT) που είναι στο Internet υφίστανται πειρατεία σε επιθέσεις ως μέρος μιας εκστρατείας που παρατηρήθηκε πρόσφατα.
Αφού αποκτήσουν πρόσβαση σε ένα σύστημα, οι εισβολείς αναπτύσσουν ένα trojanized πακέτο OpenSSH. Αυτό τους βοηθά να παρακάμψουν τις παραβιασμένες συσκευές και να κλέψουν διαπιστευτήρια SSH για να διατηρήσουν την επιμονή.
“Οι ενημερώσεις κώδικα εγκαθιστούν άγκιστρα που παρεμποδίζουν τους κωδικούς πρόσβασης και τα κλειδιά των συνδέσεων SSH της συσκευής, είτε ως πελάτης είτε ως διακομιστής”, η Microsoftείπε.
“Επιπλέον, οι ενημερώσεις κώδικα επιτρέπουν τη σύνδεση root μέσω SSH και αποκρύπτουν την παρουσία του εισβολέα καταστέλλοντας την καταγραφή των περιόδων σύνδεσης SSH των ενεργών απειλών, οι οποίες διακρίνονται από έναν ειδικό κωδικό πρόσβασης.”
Το σενάριο του κελύφους της κερκόπορτας που αναπτύσσεται ταυτόχρονα με το trojanized δυαδικό OpenSSH θα προσθέσει δύο δημόσια κλειδιά στο αρχείο authorized_keys για μόνιμη πρόσβαση SSH.
Επιτρέπει περαιτέρω στους παράγοντες απειλής να συλλέγουν πληροφορίες συστήματος και να εγκαταστήσουν rootkits LKM ανοιχτού κώδικα για απόκρυψη κακόβουλης δραστηριότητας στα παραβιασμένα συστήματα.
Οι φορείς απειλών χρησιμοποιούν επίσης την κερκόπορτα για να εξαλείψουν άλλους hackers προσθέτοντας νέους κανόνες iptables και καταχωρήσεις στο /etc/host για να μειώσουν την κυκλοφορία σε κεντρικούς υπολογιστές και IP που χρησιμοποιούνται από τους ανταγωνιστές του cryptojacking της επιχείρησης.
“Επίσης, προσδιορίζει τις διεργασίες και τα αρχεία εξόρυξης με τα ονόματά τους και είτε τα τερματίζει είτε αποκλείει την πρόσβαση σε αυτά και καταργεί την πρόσβαση SSH που έχει διαμορφωθεί σε authorized_keys από άλλους αντιπάλους”, δήλωσε η Microsoft.