Ένα Linux botnet εξαπλώνεται χρησιμοποιώντας κλεμμένα κλειδιά SSH

Το ZDNet προειδοποιεί ότι οι χρήστες Linux πρέπει να προσέχουν για «ένα νέο botnet peer-to-peer (P2P) που εξαπλώνεται μεταξύ δικτύων χρησιμοποιώντας κλεμμένα κλειδιά SSH και εκτελεί κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων στη μνήμη του υπολογιστή».
Το botnet Panchan P2P ανακαλύφθηκε από ερευνητές στο Akamai τον Μάρτιο και η εταιρεία προειδοποιεί τώρα ότι θα μπορούσε να επωφεληθεί από τη διασύνδεση μεταξύ ακαδημαϊκών ιδρυμάτων για να εξαπλωθεί προκαλώντας την κοινή χρήση κλειδιών ελέγχου ταυτότητας SSH που είχαν κλαπεί προηγουμένως.

Ωστόσο, αντί να κλέβει πνευματική ιδιοκτησία από αυτά τα εκπαιδευτικά ιδρύματα, το botnet Panchan χρησιμοποιεί τους διακομιστές του Linux για την εξόρυξη κρυπτονομισμάτων, σύμφωνα με την Akamai... "Αντί να χρησιμοποιεί απλώς brute force ή dictionary attacks σε τυχαιοποιημένες διευθύνσεις IP όπως τα περισσότερα botnet, το κακόβουλο λογισμικό διαβάζει επίσης τα αρχεία id_rsa και known_hosts για να συλλέξει υπάρχοντα διαπιστευτήρια και να τα χρησιμοποιήσει για να μετακινηθεί μέσα στο δίκτυο". Η Akamai βρήκε 209 peers, αλλά μόνο 40 από αυτούς είναι επί του παρόντος ενεργοί και βρίσκονται κυρίως στην Ασία.

Και γιατί ο τομέας της εκπαίδευσης επηρεάζεται περισσότερο από τον Panchan; Η Akamai εικάζει ότι αυτό μπορεί να οφείλεται σε κακή διαχείριση των κωδικών πρόσβασης των χρηστών (Χρήση εύκολων κωδικών ή παράλειψη αλλαγής τους για μεγάλο χρονικό διάστημα) ή ότι το κακόβουλο λογισμικό μετακινείται στο δίκτυο με κλεμμένα κλειδιά SSH.

Η Akamai γράφει ότι το κακόβουλο λογισμικό «πιάνει σήματα τερματισμού Linux (συγκεκριμένα SIGTERM — 0xF και SIGINT — 0x2) που του αποστέλλονται και τα αγνοεί. "Αυτό καθιστά πιο δύσκολο τον τερματισμό του κακόβουλου λογισμικού, αλλά όχι αδύνατο, καθώς το SIGKILL δεν αντιμετωπίζεται (επειδή δεν είναι δυνατό, σύμφωνα με το πρότυπο POSIX, σελίδα 313)."