L’accès SSH ciblé pour pirater des serveurs Linux et déployer plusieurs malwares !
Les serveurs Linux exposés sur Internet sont la nouvelle cible d'un groupe de cybercriminels inconnu : ils effectuent des attaques par brute force sur l'accès SSH pour infecter les serveurs avec différentes souches malveillantes, notamment le botnet Tsunami.
S'attaquer à l'accès SSH de serveurs exposés sur Internet, c'est un grand classique. On est en 2023, et cela fonctionne toujours : de quoi motiver les cybercriminels à continuer ces attaques massives en utilisant la méthode du brute force. Cette méthode est efficace si le serveur n'est pas suffisamment sécurisé : une attaque par brute force est facilement détectable, avec un outil comme CrowdSec ou fail2ban, par exemple. Le centre d'intervention d'urgence d'AhnLab Security a fait la découverte d'une nouvelle campagne de ce type.
Les cybercriminels scannent Internet à la recherche de machines Linux avec un service SSH accessible publiquement, afin de déclencher une attaque brute force où différents couples d'identifiants seront testés. Bien souvent, l'identifiant "root" est utilisé, avec différents mots de passe. Voici une liste d'identifiants testés par les pirates dans le cadre de cette campagne :
Une fois qu'une machine Linux est compromise, que se passe-t-il ?
Un script Bash est exécuté dans le but de télécharger et d'exécuter un véritable arsenal de malwares et d'outils ! Parmi ces malwares, il y a le botnet Tsunami qui permettra d'utiliser la machine dans le cadre d'attaques DDoS mais aussi de permettre le contrôle à distance, la collecte d'informations sur le système, etc.... Un autre botnet nommé ShellBot est déployé et ce dernier ajoute la possibilité de pouvoir déployer un reverse shell. Par ailleurs, on retrouve aussi XMRig pour miner de la cryptomonnaie Monero
À cela s'ajoutent les outils MIG Logcleaner v2.0 et Shadow Log Cleaner, deux outils pour nettoyer le serveur compromis afin de ne pas laisser de trace des actions malveillantes effectuées (suppressions de logs, par exemple). On rentre en force sur le serveur, et ensuite, on nettoie.
Par ailleurs, les pirates profitent de l'accès au serveur pour générer une paire de clés SSH (une clé publique et une clé privée), autorisée ensuite au sein du serveur. Ainsi, même si le mot de passe du serveur est changé par l'administrateur, les pirates ont toujours un accès grâce à l'authentification par clé.
Ne négligez pas l'accès SSH de votre serveur : changer le port par défaut, désactiver l'authentification du compte root et passer sur de l'authentification par clés, et cela va améliorer le niveau de sécurité de l'accès SSH de votre serveur.
