Μια κινεζική ομάδα hacking εκμεταλλεύεται τον SSH daemon σε δικτυακές συσκευές μέσω ενός νέου κακόβουλου backdoor, εξασφαλίζοντας μόνιμη πρόσβαση και τη δυνατότητα εκτέλεσης κρυφών ενεργειών.
Δείτε επίσης: Οι Κινέζοι hackers MirrorFace επιτίθενται στην Ιαπωνία από το 2019

Η πρόσφατα αναγνωρισμένη σουίτα επιθέσεων έχει χρησιμοποιηθεί ενεργά από τα μέσα Νοεμβρίου 2024, από την κινεζική ομάδα κυβερνοκατασκοπείας Evasive Panda, γνωστή και ως DaggerFly.
Σύμφωνα με τα ευρήματα των ερευνητών του Fortiguard της Fortinet, η σουίτα επίθεσης ονομάζεται “ELF/Sshdinjector.A!tr” και αποτελείται από κακόβουλο λογισμικό που έχει εγχυθεί στον SSH daemon για να εκτελέσει ένα ευρύ φάσμα ενεργειών. Το Fortiguard λέει ότι το ELF/Sshdinjector.A!tr χρησιμοποιήθηκε σε επιθέσεις εναντίον συσκευών δικτύου, αλλά παρόλο που έχει τεκμηριωθεί στο παρελθόν, δεν υπάρχουν αναλυτικές αναφορές για τον τρόπο λειτουργίας του.
Η ομάδα Evasive Panda δραστηριοποιείται από το 2012 και ήρθε πρόσφατα στο προσκήνιο για επιθέσεις που αναπτύσσουν ένα νέο backdoor macOS, πραγματοποιεί επιθέσεις στην αλυσίδα εφοδιασμού μέσω ISP στην Ασία και συλλέγει πληροφορίες από οργανισμούς των ΗΠΑ σε μια επιχείρηση διάρκειας τεσσάρων μηνών.
Δείτε ακόμα: Πάνω από 4.000 backdoor κατασχέθηκαν μέσω ληγμένων domain
Ενώ το Fortiguard δεν έχει κοινοποιήσει τον τρόπο με τον οποίο παραβιάζονται αρχικά οι συσκευές δικτύου, αφού παραβιαστεί, ένα στοιχείο dropper ελέγχει εάν η συσκευή είναι ήδη μολυσμένη και εάν εκτελείται με δικαιώματα root.

Εάν πληρούνται οι προϋποθέσεις, πολλά δυαδικά αρχεία, συμπεριλαμβανομένης μιας βιβλιοθήκης SSH (libssdh.so), θα απορριφθούν στο μηχάνημα προορισμού. Αυτό το αρχείο λειτουργεί ως το κύριο στοιχείο backdoor, υπεύθυνο για τις επικοινωνίες εντολών και ελέγχου (C2) και την εξαγωγή δεδομένων.
Άλλα δυαδικά αρχεία, όπως το «mainpasteheader» και το «selfrecoverheader», βοηθούν τους εισβολείς να διασφαλίσουν την επιμονή στις μολυσμένες συσκευές. Το κακόβουλο backdoor SSH εγχέεται στον SSH daemon και στη συνέχεια περιμένει τις εισερχόμενες εντολές από τον C2 για να εκτελέσει αναγνώριση συστήματος, κλοπή διαπιστευτηρίων, παρακολούθηση διεργασιών, απομακρυσμένη εκτέλεση εντολών και χειρισμό αρχείων.
Το Fortiguard σημείωσε επίσης ότι χρησιμοποίησε εργαλεία AI για να αναστρέψει και να αναλύσει αυτό το κακόβουλο λογισμικό. Αν και αυτό δεν ήταν μια απλή διαδικασία, το εργαλείο έδειξε πολλά υποσχόμενες δυνατότητες.
Δείτε επίσης: Οι hackers Cloud Atlas χρησιμοποιούν ευπάθεια Microsoft Office για διανομή backdoors
Τα backdoor, όπως αυτό που επηρεάζει τον SSH daemon, είναι μη εξουσιοδοτημένα σημεία πρόσβασης που έχουν δημιουργηθεί σκόπιμα ή κακόβουλα μέσα στα συστήματα για να παρακάμψουν μηχανισμούς ελέγχου ταυτότητας. Εκμεταλλεύονται ευπάθειες στα πρωτόκολλα Secure Shell, επιτρέποντας στους εισβολείς να αποκτούν απομακρυσμένη πρόσβαση, να παρακολουθούν ή να ελέγχουν στοχευμένους διακομιστές χωρίς εντοπισμό. Αυτά τα backdoor εγκαθίστανται συχνά μέσω κακόβουλου λογισμικού, εσφαλμένων ρυθμίσεων συστημάτων ή ακόμα και εσωτερικών απειλών. Για τον μετριασμό τέτοιων κινδύνων, είναι απαραίτητο να εφαρμόζονται ισχυρές πρακτικές ασφαλείας, όπως τακτικές ενημερώσεις, ισχυρές μέθοδοι ελέγχου ταυτότητας και συνεχής παρακολούθηση των δραστηριοτήτων του συστήματος για τον εντοπισμό ανωμαλιών. Η πρόληψη και η έγκαιρη ανίχνευση είναι ζωτικής σημασίας για την προστασία των συστημάτων από πιθανή εκμετάλλευση μέσω backdoor.
Πηγή: bleepingcomputer