Investigadores de ciberseguridad han revelado detalles de una nueva operación de botnet llamada SSHStalker que se basa en el protocolo de comunicación Internet Relay Chat (IRC) para fines de comando y control (C2).
«El conjunto de herramientas combina ayudas sigilosas con la explotación de Linux de la era heredada: junto con los limpiadores de registros (utmp/wtmp/lastlog manipulación) y los artefactos de clase rootkit, el actor mantiene un gran catálogo de exploits de la era Linux 2.6.x (2009-2010 CVE)», dijo la empresa de ciberseguridad Flare. «Tienen poco valor frente a las pilas modernas, pero siguen siendo eficaces frente a infraestructuras ‘olvidadas’ y entornos heredados de cola larga».
SSHStalker combina la mecánica de botnet IRC con una operación automatizada de compromiso masivo que utiliza un escáner SSH y otros escáneres fácilmente disponibles para cooptar sistemas susceptibles en una red e inscribirlos en canales IRC.
Sin embargo, a diferencia de otras campañas que normalmente aprovechan dichas botnets para esfuerzos oportunistas como ataques distribuidos de denegación de servicio (DDoS), proxyjacking o minería de criptomonedas, se ha descubierto que SSHStalker mantiene un acceso persistente sin ningún comportamiento posterior a la explotación.
Este comportamiento inactivo lo distingue, lo que aumenta la posibilidad de que la infraestructura comprometida se esté utilizando para preparación, pruebas o retención de acceso estratégico para uso futuro.
Un componente central de SSHStalker es un escáner Golang que busca en el puerto 22 servidores con SSH abierto para ampliar su alcance en forma de gusano. También se lanzaron varias cargas útiles, incluidas variantes de un bot controlado por IRC y un bot de archivos Perl que se conecta a un servidor IRC UnrealIRCd, se une a un canal de control y espera comandos que le permitan llevar a cabo ataques de tráfico estilo inundación y controlar los bots.
Los ataques también se caracterizan por la ejecución de archivos de programa C para limpiar los registros de conexión SSH y borrar rastros de actividad maliciosa de los registros para reducir la visibilidad forense. Además, el kit de herramientas de malware contiene un componente de «mantenimiento» que garantiza que el proceso principal de malware se reinicie en 60 segundos en caso de que una herramienta de seguridad lo finalice.
SSHStalker se destaca por combinar la automatización de compromisos masivos con un catálogo de 16 vulnerabilidades distintas que afectan el kernel de Linux, algunas de las cuales se remontan a 2009. Algunas de las fallas utilizadas en el módulo de explotación son CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 y CVE-2010-3437.
La investigación de Flare de la infraestructura de preparación asociada con el actor de amenazas ha descubierto un extenso repositorio de herramientas ofensivas de código abierto y muestras de malware publicadas anteriormente. Estos incluyen –
- Rootkits para facilitar el sigilo y la persistencia
- Mineros de criptomonedas
- Un script de Python que ejecuta un binario llamado «capturador de sitios web» para robar secretos expuestos de Amazon Web Services (AWS) de sitios web específicos.
- EnergyMech, un bot IRC que proporciona C2 y capacidades de ejecución remota de comandos
Se sospecha que el actor de amenazas detrás de la actividad podría ser de origen rumano, dada la presencia de «apodos de estilo rumano, patrones de jerga y convenciones de nomenclatura dentro de los canales IRC y listas de palabras de configuración». Es más, la huella operativa muestra fuertes superposiciones con la de un grupo de hackers conocido como Outlaw (también conocido como Dota).
«SSHStalker no parece centrarse en el desarrollo de exploits novedosos, sino que demuestra control operativo a través de una implementación y orquestación madura, utilizando principalmente C para el bot central y componentes de bajo nivel, shell para la orquestación y persistencia, y un uso limitado de Python y Perl principalmente para tareas de utilidad o de soporte de automatización dentro de la cadena de ataque y para ejecutar el IRCbot», dijo Flare.
«El actor de amenazas no está desarrollando rootkits novedosos o de día cero, sino que está demostrando una fuerte disciplina operativa en flujos de trabajo de compromiso masivo, reciclaje de infraestructura y persistencia de cola larga en entornos Linux heterogéneos».