Cryptovalute: Linux ancora sotto attacco
E’ di qualche giorno fa la notizia che i sistemi Linux, già da Novembre scorso, sono nuovamente sotto attacco.
Il motivo? Come spesso accade negli ultimi tempi, l’acquisizione di cryptovalute, Monero per essere più precisi.
L’attacco sviluppato da “Outlaw group” ha lo scopo di utilizzare le risorse del sistema infettato per minare (ovvero cercare di generare) questa particolare criptovaluta, utilizzando una versione opportunatamente modificata di Shellbot, un Trojan che crea un tunnel tra l’host infetto ad un server C2 (command-and-control) gestito dagli attaccanti.
In questi giorni, appunto, il team di ricerca JASK Special Ops ha rilasciato un PDF molto dettagliato che spiega nel dettaglio il vettore di attacco, i payload (ovvero i software che permettono di eseguire operazioni) caricati sulle macchine infette e l’infrastruttura degli attaccanti, ma sicuramente (al netto del mining di cryptovalute) già il primo veicolo di attacco -Shellbot- è estremamente pericoloso.
Già perchè una volta infettato il sistema ed aperta la backdoor dal server C2, è subito possibile ottenere informazioni dal sistema, dati personali, terminare ed eseguire processi o scaricare sulla macchina altri payload per estendere la superficie di attacco; se uniamo il fatto che Shellbot, pur essendo un bot IRC, può essere distribuito tramite una semplice vulnerabilità di command injection che non solo può infettare sistemi “completi” Linux, ma anche diversi dispositivi IoT (Internet of Things), allora il quadro che si va a disegnare è decisamente preoccupante.
In uno degli attacchi registrati da Trend Micro a Novembre, gli attaccanti sono riusciti a compromettere un server FTP (File Transfer Protocol) di un’organizzazione artistica Giapponese ed un sito governativo del Bangladeshi; tutti questi sistemi hanno ricevuto subito alcuni payload tra cui IRC C2 botware (per prendere possesso del sistema), un malware di mining cryptovalute (Monero appunto) e haiduc, un toolkit di scansione e propagazione di rete tramite ssh.
Purtroppo i ricercatori affermano che la botnet è tutt’altro che in fase regressiva anzi, sta continuando ad espandersi e, considerando che i due metodi iniziali più comuni di infezione sono un attacco DOS (Denial Of Service) e, soprattutto, un mero bruteforcing ssh, il consiglio è sempre quello di tenere sott’occhio le proprie password, modificarle se troppo semplici, e controllare il proprio computer.
Utente Linux/Unix da circa 20 anni, cerco sempre di condividere il mio know-how ed, occasionalmente, litigo con lo sviluppatore di Postfix. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.
Source: https://www.miamammausalinux.org/2019/02/cryptovalute-linux-ancora-sotto-attacco/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.