Un noto gruppo di criminali informatici denominato Outlaw, noto anche come Dota, ha intensificato i suoi attacchi ai server GNU/Linux in una campagna globale. Il gruppo ha sfruttato password SSH deboli o predefinite per accedere ai server, dove installare malware e utilizza i sistemi per il mining di criptovalute.
Gli attacchi sono stati confermati in diversi Paesi, tra cui Stati Uniti, Germania, Italia, Brasile, Canada, Thailandia e Taiwan.
Sfrutta le password SSH deboli
Il metodo principale del gruppo è quello di accedere tramite SSH ai server GNU/Linux, le cui password sono deboli o non sono mai state modificate rispetto alle impostazioni predefinite. Particolarmente vulnerabili sono gli account amministrativi come “suporte” (supporto), che spesso si trovano in ambienti preconfigurati.
Dopo l’accesso, viene aggiunta una chiave SSH non autorizzata per l’utente “mdrfckr”, consentendo all’aggressore di accedere permanentemente al sistema senza dover immettere nuovamente una password.
Installazione di botnet
Una volta ottenuto l’accesso, viene installato uno script Perl che scarica e decomprime un archivio denominato dota.tar.gz. Questo codice è inserito in una cartella nascosta denominata .configrc5 , dove si trovano i file eseguibili come init0 e b/run
Il malware è intenzionalmente offuscato per evitare di essere rilevato e dispone di meccanismi per sopravvivere ai riavvii. La comunicazione avviene tramite IRC, che consente il controllo remoto del sistema, tra le altre cose, per attacchi DDoS, ulteriore diffusione e download di altri file dannosi.
Mining di criptovalute con XMRig
Uno degli obiettivi principali degli attacchi è utilizzare le risorse dei server per estrarre Monero (XMR), una criptovaluta anonima. Gli aggressori utilizzano una versione modificata dell’exploit XMRig (un software open source progettato per il mining di criptovalute), mascherandosi da processo di sistema kswapd0. Ciò consente al programma di funzionare in background senza destare sospetti.
Il risultato è spesso un impatto significativo sulle prestazioni. Molti amministratori di sistema non si accorgono dell’attacco finché il sistema non diventa lento o instabile.
Misure di protezione
Per ridurre il rischio di questo tipo di intrusione, gli amministratori di server GNU/Linux dovrebbero adottare le seguenti misure:
- Disattivare l’accesso SSH basato su password e utilizzare l’autenticazione basata su chiave.
- Limitare l’accesso SSH a specifici indirizzi IP e valutare l’utilizzo di una porta non standard.
- Monitorare le risorse di sistema per rilevare un utilizzo insolitamente elevato della CPU o processi sconosciuti.
- Installare regolarmente gli aggiornamenti di sicurezza sia per il sistema operativo che per il kernel Linux.
In sostanza, applicare le pratiche standard per la gestione di un server online!
Riepilogo
L’attacco del gruppo di criminali informatici Outlaw dimostra chiaramente che anche i server GNU/Linux, spesso considerati più sicuri di altri sistemi, sono vulnerabili se non configurati e monitorati correttamente. Sfruttando le vulnerabilità della sicurezza, gli aggressori possono usare i server come strumenti per ottenere guadagni finanziari e portare avanti ulteriori attacchi senza essere scoperti.
Un server sicuro necessita di procedure efficaci, una strategia di sicurezza proattiva e un monitoraggio costante. Senza queste misure, aumenta significativamente il rischio che l’infrastruttura venga compromessa e sfruttata da gruppi criminali come Outlaw.
Fonte: https://cyptd.com/global-attacks-targeting-linux/
Fonte: https://securelist.com/outlaw-botnet/116444/
Fonte: https://www.linux.se/outlaw-hackergrupp-riktar-in-sig-pa-linux-servrar-varlden-over/
Source: Read More