Les serveurs Linux SSH mal sécurisés sont ciblés par des acteurs malveillants pour installer des scanners de ports et des outils d’attaque par dictionnaire dans le but de cibler d’autres serveurs vulnérables et de les coopter dans un réseau pour effectuer l’extraction de crypto-monnaie et le déni de service distribué (DDoS). attaques.
« Les acteurs malveillants peuvent également choisir d’installer uniquement des scanners et de vendre l’adresse IP et les informations d’identification du compte violées sur le dark web », a déclaré l’AhnLab Security Emergency Response Center (ASEC). dit dans un rapport mardi.
Dans ces attaques, les adversaires tentent de deviner les informations d’identification SSH d’un serveur en parcourant une liste de combinaisons couramment utilisées de noms d’utilisateur et de mots de passe, une technique appelée attaque par dictionnaire.
Si la tentative de force brute réussit, l’acteur malveillant déploie ensuite d’autres logiciels malveillants, notamment des scanners, pour rechercher d’autres systèmes sensibles sur Internet.
Plus précisément, le scanner est conçu pour rechercher les systèmes sur lesquels le port 22, associé au service SSH, est actif, puis répète le processus d’attaque par dictionnaire afin d’installer un logiciel malveillant, propageant ainsi efficacement l’infection.
Un autre aspect notable de l’attaque est l’exécution de commandes telles que « grep -c ^processor /proc/cpuinfo » pour déterminer le nombre de cœurs de processeur.
« Ces outils auraient été créés par l’ancienne équipe de PRG, et chaque acteur malveillant les modifie légèrement avant de les utiliser dans des attaques », a déclaré l’ASEC, ajoutant qu’il existe des preuves de l’utilisation de tels logiciels malveillants. dès 2021.
Pour atténuer les risques associés à ces attaques, il est recommandé aux utilisateurs de s’appuyer sur des mots de passe difficiles à deviner, de les alterner périodiquement et de maintenir leurs systèmes à jour.
Ces découvertes surviennent alors que Kaspersky révèle qu’une nouvelle menace multiplateforme appelée NKAbuse exploite un protocole de connectivité réseau peer-to-peer décentralisé connu sous le nom de NKN (abréviation de New Kind of Network) comme canal de communication pour les attaques DDoS.