I ricercatori di Microsoft hanno recentemente scoperto una campagna di cryptojacking che prende di mira sistemi Linux e dispositivi Internet of Things (IoT) mal configurati. Gli attacchi, che coinvolgono l’accesso forzato ai sistemi, sono progettati per trarre profitto dal mining illecito di criptovalute. Una volta che gli aggressori hanno violato il sistema di destinazione, viene scaricata una versione alterata di OpenSSH, uno strumento di accesso remoto, che cerca di compromettere i sistemi e rubare le credenziali.
Dettagli dell’attacco e tecniche utilizzate
Gli attacchi utilizzano un’infrastruttura criminale che incorpora il sottodominio di un’istituzione finanziaria del sud-est asiatico come server di comando e controllo. Il backdoor installato dagli aggressori dispiega una vasta gamma di strumenti e componenti, come rootkit e un bot IRC, per rubare risorse del dispositivo per operazioni di mining. Inoltre, il backdoor installa una versione alterata di OpenSSH sui dispositivi compromessi, permettendo agli aggressori di dirottare le credenziali SSH, muoversi lateralmente all’interno della rete e nascondere connessioni SSH dannose.
Conseguenze e protezione
La presenza di un backdoor e di strumenti di mining illeciti può portare a prestazioni instabili del sistema e compromettere la sicurezza dei dati. Microsoft suggerisce diverse misure per proteggere i sistemi da questo tipo di attacco, tra cui il rafforzamento dei dispositivi esposti a Internet, l’assicurazione di configurazioni sicure, il mantenimento delle patch e degli aggiornamenti del firmware, l’uso di accesso con privilegi minimi e, quando possibile, l’aggiornamento di OpenSSH all’ultima versione.
La campagna Trojan OpenSSH rappresenta una minaccia significativa per i sistemi Linux e i dispositivi IoT. È essenziale che le organizzazioni e gli individui adottino misure proattive per proteggere i loro sistemi e dispositivi da attacchi simili, garantendo configurazioni sicure, mantenendo gli aggiornamenti e monitorando attentamente l’attività della rete.