Server di Linux SSH (gestiti malamente, precisiamo) stanno diventando il bersaglio di una nuova campagna d’attacco hacker che utilizza diverse varianti di un malware chiamato ShellBot.
ShellBot: cosa fa e come si comporta
“ShellBot, anche noto come PerlBot, è un malware DDoS Bot sviluppato in Perl e utilizza caratteristicamente il protocollo IRC per comunicare con il server C&C“, ha dichiarato il centro di risposta alle emergenze di sicurezza AhnLab (ASEC) in un rapporto.
ShellBot viene installato sui server che hanno credenziali deboli (password fragili e username facilmente intuibile, giusto per dirne alcune), ma solo dopo che gli autori fanno uso di malware scanner per identificare i sistemi che hanno aperta la porta SSH 22.
Una lista di credenziali SSH conosciute viene utilizzata per avviare un attacco a dizionario per violare il server e distribuire il payload, dopodiché sfrutta il protocollo di Internet Relay Chat (IRC) per comunicare con un server remoto.
Ciò comprende la capacità di ricevere comandi che consentono a ShellBot di eseguire attacchi DDoS ed esfiltrare le informazioni raccolte.
ASEC ha dichiarato di aver identificato tre diverse versioni di ShellBot,LiGhT’s Modded perlbot v2, DDoS PBot v2.0 e PowerBots (C) GohacK, le prime due delle quali offrono una varietà di comandi di attacco DDoS utilizzando i protocolli HTTP, TCP e UDP.
PowerBots, d’altro canto, è dotato di più funzionalità simili a backdoor per garantire l’accesso inverso alla shell e caricare file arbitrari dall’host compromesso.
I risultati arrivano quasi tre mesi dopo che ShellBot è stato impiegato in attacchi mirati contro server Linux che distribuivano anche miner di criptovaluta tramite un compilatore di script di shell.
“Se ShellBot è installato, i server Linux possono essere utilizzati come bot DDoS per attacchi DDoS contro obiettivi specifici dopo aver ricevuto un comando dal malintenzionato“, ha affermato ASEC. “Inoltre, il malintenzionato potrebbe utilizzare varie altre funzionalità backdoor per installare malware aggiuntivo o lanciare diversi tipi di attacchi dal server compromesso“.
Ulteriori sviluppi arrivano quando anche Microsoft ha rivelato un sensibile aumento del numero di attacchi DDoS rivolti alle organizzazioni sanitarie ospitate in Azure, passando da 10-20 attacchi nel novembre 2022 a 40-60 attacchi al giorno nel febbraio 2023.
Sistemi operativi basati su Kernel Linux: sicuri ma non troppo?
Il caso ShellBot in questione ha messo in luce il fatto che non è che se tu installi una qualsiasi distribuzione di Linux (Mint, Ubuntu, Debian, ZorinOS, etc.) allora sei automaticamente al sicuro.
Se nel caso dell’utente privato è necessario avere delle buone abitudini di navigazione, nel caso dei server bisogna andarci molto più cauti, perché come già detto, non è che hai server su Linux e sei al sicuro perché “così dicono”.
Purtroppo questa mentalità del “Linux invincibile” è così popolare tra l’utenza Linux, che spesso ci si dimentica delle buone abitudini di navigazione.
Sebbene Linux venga spesso proposto da questi personaggi come alternativa a Windows, ormai le due classi di sistema operativi sono legate a doppio filo l’una all’altra: inutile negarlo.
Detto questo, va comunque precisato che non esiste un sistema operativo impenetrabile e “invincibile”, nel caso dei server non si può nemmeno pretendere che sia al sicuro perché “ah, tanto uso Linux”, puoi usare anche un sistema operativo creato dalla NSA, ma se le abitudini sono pessime, non servirà a nulla.