Los servidores Linux SSH, objetivo de la red de bots Tsunami DDoS
Los investigadores del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) han descubierto una actividad de piratería informática en curso destinada a instalar la red de bots DDoS Tsunami, comúnmente conocida como Kaiten, en servidores Linux SSH mal protegidos.
Tsunami es una potente arma DDoS que puede utilizarse para desencadenar ataques catastróficos contra diversos objetivos. Está disponible de forma gratuita, lo que permite a las amenazas crear sus propias redes de bots. La red de bots se propaga en gran medida mediante ataques de fuerza bruta, en los que los atacantes adivinan combinaciones de nombre de usuario y contraseña para servidores SSH hasta que descubren una coincidencia.
Tras la violación de un servidor, los atacantes utilizan un comando para descargar y ejecutar cepas de malware utilizando herramientas como el script Bash para obtener el control de los ordenadores vulnerables. Mediante la creación de una cuenta SSH de puerta trasera y la producción de claves SSH nuevas, los atacantes intentan mantener el acceso incluso si se restablece la contraseña del usuario.
Los atacantes también utilizan malware como ShellBot para manipular remotamente los ordenadores afectados y XMRig CoinMiner para secuestrar servidores y minar monedas Monero utilizando sus recursos. También utilizan Log Cleaner para eliminar los registros del sistema, lo que dificulta el seguimiento de su actividad.
La variante del bot Tsunami empleada en esta campaña es una variante de Kaiten conocida como Ziggy. Se oculta escribiendo en un archivo llamado "/etc/rc.local", lo que dificulta su identificación. También cambia el nombre del proceso a "[kworker/0:0]" para encajar con otros procesos. Emplea tácticas DDoS como SYN, ACK, UDP e inundaciones. También incluye instrucciones que permiten a los atacantes obtener información del sistema, ejecutar comandos de shell, construir reverse shells, actualizarse a sí mismo, descargar cargas útiles adicionales e incluso detener sus propias actividades.
Para reducir la probabilidad de ser víctima de este tipo de ataques, los usuarios de Linux deben utilizar contraseñas de cuenta seguras o, para mayor seguridad, utilizar claves SSH para la autenticación. ASEC aconseja además evitar el inicio de sesión root a través de SSH, limitar el rango de direcciones IP permitidas para acceder al servidor y cambiar el puerto SSH por defecto a un número menos predecible para desalentar bots automatizados y scripts de infección.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.