Support technique
Documentation
Connexion
Nous contacter
Les serveurs SSH Linux ciblés par le botnet DDoS Tsunami
Obanla Opeyemi
7 juillet 2023 - L'équipe d'experts de TuxCare
Les chercheurs de l'AhnLab Security Emergency Response Center (ASEC) ont découvert une activité de piratage en cours visant à installer le botnet DDoS Tsunami, communément appelé Kaiten, sur des serveurs SSH Linux mal sécurisés.
Tsunami est une arme DDoS puissante qui peut être utilisée pour déclencher des attaques catastrophiques contre diverses cibles. Il est disponible gratuitement, ce qui permet aux acteurs de la menace de créer leurs propres réseaux de zombies. Le botnet se propage principalement par des attaques par force brute, au cours desquelles les attaquants devinent des combinaisons de noms d'utilisateur et de mots de passe pour des serveurs SSH jusqu'à ce qu'ils découvrent une correspondance.
À la suite d'une intrusion dans un serveur, les attaquants utilisent une commande pour télécharger et exécuter des souches de logiciels malveillants à l'aide d'outils tels que le script Bash pour prendre le contrôle d'ordinateurs vulnérables. En créant un compte SSH dérobé et en produisant de nouvelles clés SSH, les attaquants tentent de conserver l'accès même si le mot de passe de l'utilisateur est réinitialisé.
Les attaquants utilisent également des logiciels malveillants tels que ShellBot pour manipuler à distance les ordinateurs affectés et XMRig CoinMiner pour détourner les serveurs et extraire des pièces de monnaie Monero en utilisant leurs ressources. Ils utilisent également Log Cleaner pour supprimer les journaux du système, ce qui rend plus difficile le suivi de leur activité.
La variante du robot Tsunami utilisée dans cette campagne est une variante de Kaiten connue sous le nom de Ziggy. Il se dissimule en écrivant dans un fichier appelé "/etc/rc.local", ce qui le rend difficile à identifier. Il change également le nom du processus en "[kworker/0:0]" pour s'intégrer aux autres processus. Il utilise des tactiques DDoS telles que SYN, ACK, UDP et floods. Il inclut également des instructions qui permettent aux attaquants d'obtenir des informations sur le système, d'exécuter des commandes shell, de construire des shells inversés, de se mettre à jour, de télécharger des charges utiles supplémentaires et même d'interrompre ses propres activités.
Pour réduire la probabilité d'être victime de telles attaques, les utilisateurs de Linux devraient utiliser des mots de passe de compte forts ou, pour plus de sécurité, utiliser des clés SSH pour l'authentification. L'ASEC conseille également d'empêcher l'accès à la racine par SSH, de limiter la plage d'adresses IP autorisées à accéder au serveur et de changer le port SSH par défaut pour un numéro moins prévisible afin de décourager les robots et les scripts d'infection.
Les sources de cet article comprennent un article de BleepingComputer.
