Cercetatorii de la compania de securitate FireEye monitorizeaza o campanie malware in care atacatorii folosesc atacuri brute force asupra protocolului Secure Shell (SSH) pentru a instala un malware DDoS pe sisteme de operare Linux, dar si alte tipuri de sisteme.
Malware-ul, denumit XOR.DDoS, a fost detectat pentru prima data in septembrie de catre grupul de cercetare Malware Must Die. Se pare ca XOR.DDoS este diferit de alti boti DDoS, deoarece este scris in C/C++ si foloseste o componenta rootkit pentru a-si ascunde mai bine urmele.
FireEye a inceput sa analizeze XOR.DDoS la mijlocul lunii noiembrie, atunci cand a depistat atacuri brute force SSH in reteaua sa globala, provenind de pe adrese IP care apartin de Hee Thai Limited, o organizatie cu sediul in Hong Kong. In primele 24 de ore, FireEye a inregistrat peste 20.000 de tentative de autentificare SSH per server.
A doua etapa a campaniei a avut loc intre 19 – 30 noiembrie. Pana la sfarsitul lunii noiembrie, FireEye a observat aproximativ 150.000 de incercari de autentificare de pe aproape fiecare adresa IP care aparține de Hee Thai Limited.
A treia etapa, care potrivit cercetatorilor, este mai “haotica” decat cele doua anterioare, a inceput pe 7 decembrie si continua chiar si astazi. Pana la sfarsitul lunii ianuarie au fost inregistrate aproape 1 milion de incercari de autentificare pe fiecare server FireEye.
In cazul in care o parola SSH este sparta cu succes, atacatorii se logheaza pe serverul vizat si executa comenzi din shell pentru a extrage informatii despre kernel si despre versiunile software-urilor folosite. Apoi, utilizeaza aceste informatii pentru a crea malware personalizat pentru fiecare sistem in parte.
Odata instalat pe un sistem, malware-ul XOR.DDoS se conecteaza la serverul de comanda si control pentru a-si actualiza lista de obiective. In plus fata de atacuri DDoS, botul este capabil sa descarce si sa execute fisire binare, si isi poate face singur auto-update la o versiune mai noua.