Kriptolama İçin Linux ve IoT Cihazlarını Hedefleyen Hackerlar

Microsoft’un Tehdit İstihbaratı ekibi bir blog gönderisinde, kampanyanın hedef sistemlere ve cihazlara kaba kuvvet uygulayarak başladığını ve ardından cihaz kaynaklarını tehlikeye atmak için rootkit’ler ve bir IRC botu gibi birden fazla açık kaynaklı aracı dağıtmak için bir arka kapı kullandığını söyledi.

İlk güvenlik ihlalinden hemen sonra, Truva Atılaştırılmış bir OpenSSH paketi kalıcılığın sürdürülmesine yardımcı olan bir arka kapı kurar. Saldırganlar, SSH kimlik bilgilerini ele geçirmelerine, ağ içinde yatay olarak hareket etmelerine ve güvenliği ihlal edilmiş cihazdaki kötü amaçlı bağlantıları gizlemelerine olanak tanıyan yamalı bir OpenSSH sürümü yüklemek için bu arka kapıdan daha da yararlanır.

GitHub’da bulunan Diamorphine ve Reptile gibi bir dizi açık kaynaklı rootkit de, kayıtları ve sistem günlüklerini silerek kurbanın ortamındaki kötü niyetli etkinliği gizlemek ve verileri sızdırmak için ek yükler olarak konuşlandırılır.

Arka kapı ayrıca, halihazırda üzerinde çalışıyor olabilecek rakip kripto madenciliği süreçlerini ortadan kaldırarak, virüs bulaşmış sistemin kaynakları üzerinde kendi kripto madencisini tekelleştirir. Madenci işlemlerini ve dosyalarını adlarına göre tanımlar ve bunları ya sonlandırır ya da bunlara erişimi engeller ve SSH’de yapılandırılan erişimi kaldırır. authorized_keys diğer düşmanlar tarafından.

Saldırganlar ayrıca, komut ve kontrol sunucusundan verilen bash komutlarını yürütme yeteneğine sahip, IRC tabanlı bir DDoS istemcisi olan ZiggyStarTux’un değiştirilmiş bir sürümünü dağıtır. Bu IRC botu, Kaiten adlı başka bir kötü amaçlı botnet tabanlıdır.

ZiggyStarTux, bir sistem hizmeti olarak kaydedilir ve hizmet dosyası şu adreste yapılandırılır: /etc/systemd/system/network-check.service. ZiggyStarTux botları ile saldırganların komuta ve kontrol sunucusu arasındaki iletişim, saldırganın altyapısında barındırılan meşru bir Güneydoğu Asya finans kuruluşuna ait bir alt etki alanı kullanan IRC sunucuları aracılığıyla yapılır.

Bu botlara ayrıca, saldırıya uğramış cihazın alt ağındaki ve arka kapısındaki her ana bilgisayarı ve Trojanized OpenSSH paketini kullanan tüm savunmasız sistemleri kaba kuvvetle zorlamak için ek komut dosyaları indirmeleri ve yürütmeleri talimatı verilir.

Botların amacı, kalıcılığı sürdürmek ve kripto madenciliği için tasarlanmış Linux tabanlı açık kaynaklı işletim sistemleri olan Hiveon OS sistemleri için hazırlanmış madencilik kötü amaçlı yazılımlarını dağıtmaktır.

Microsoft, kampanyayı “asterzeu” adlı bir kullanıcıya bağladı. cardingforum.cx forumu hacklemek Microsoft, kullanıcının bir SSH arka kapısı da dahil olmak üzere platformda satılık birden fazla araç sunduğunu söyledi.

Microsoft’un açıklaması, AhnLab Güvenlik Acil Müdahale Merkezi tarafından benzer bir kampanya hakkında bir raporun yayınlanmasından iki gün sonra geldi. Raporda, saldırı kampanyasının, yetersiz yönetilen Linux SSH sunucularına kurulan Tsunami – Kaiten’in başka bir adı – DDoS botundan oluştuğu belirtildi. Microsoft’un analizinde gözlemlendiği gibi, Tsunami ayrıca ShellBot, XMRig CoinMiner ve Log Cleaner gibi çeşitli başka kötü amaçlı yazılım ve kripto madenciliği ve gizleme araçları da yükledi.

Microsoft ve ASEC, Information Security Media Group’un bilgi taleplerine hemen yanıt vermediği için iki kampanya ve raporlar arasında bağlantı kurulamadı.

Microsoft, “Bu saldırının karmaşıklığı ve kapsamı, saldırganların tespit edilmekten kaçmak için gösterdikleri çabaların göstergesidir” dedi. “OpenSSH’nin değiştirilmiş sürümü, meşru bir OpenSSH sunucusunun görünümünü ve davranışını taklit eder ve bu nedenle, diğer kötü amaçlı dosyalardan daha büyük bir algılama zorluğu oluşturabilir. Bu tür saldırılar, açıktaki cihazlara sızmaya ve onları kontrol etmeye çalışan düşmanların tekniklerini ve kararlılığını gösterir. “