Hacker malintenzionati stanno utilizzando attacchi di forza bruta SSH per accedere a sistemi Linux protetti da password deboli e infettando gli stessi con una backdoor di nome Chaos.
Gli attacchi con questo malware sono stati individuati da giugno dell’anno scorso e sono stati recentemente documentati in un rapporto di GoSecure.
Secondo gli esperti di GoSecure, la backdoor non è in realtà nuova ed è stata una delle componenti del rootkit Linux “sebd” che ha visto un utilizzo limitato nel 2013, successivamente è stata scaricata gratuitamente da HackForums. Ora sembra che qualcuno abbia estratto la backdoor dal codice sorgente di sebd rootkit rinominandolo in “Chaos” e lo stia usando come payload per una prima fase di attacchi ai server Linux.
Negli attacchi individuati da GoSecure, gli hacker hanno usato Chaos per scaricare un bot che che una volta compromesso il sistema Linux lo inserisce in una botnet controllata tramite il protocollo IRC.
La backdoor non è in realtà così avanzata, né utilizza nuove vulnerabilità. Il guru di Linux Steven J. Vaughan-Nichols è stato il primo a sottolineare all’inizio di questa settimana che la backdoor non si basa in realtà su alcun exploit ma solo sulla stupidità degli amministratori dei server che non impostano password sicure.
L’unica cosa che spicca come interessante nel modus operandi di Chaos è il fatto che apre un socket raw sulla porta 8338 su cui ascolta i comandi.
“Qualsiasi firewall decente bloccherebbe i pacchetti in entrata verso qualsiasi porta che non sia stata esplicitamente aperta per scopi operativi”, dicono gli esperti di GoSecure. “Tuttavia, con Chaos che utilizza un socket raw, la backdoor può essere attivata su porte che eseguono un servizio legittimo esistente.”
Oltre a consentire al Chaos di funzionare senza servizi di disturbo già in esecuzione su quella porta, questo trucco di socket raw garantisce anche che il processo di backdoor non appaia quando gli amministratori del server eseguono controlli di base netstat -w.
“Poiché Chaos non viene da solo ma con almeno un IRC Bot con funzionalità di esecuzione di codice in modalità remota, consigliamo agli host infetti di essere completamente reinstallati da un backup affidabile con un nuovo set di credenziali”.
