Šios kenkėjiškos programos yra galingi įrankiai, kuriais pasinaudoję programišiai gali perimti „Linux“ serverių valdymą. „OpenSSH“ yra dažniausiai IT administratorių naudojamas įrankis, skirtas valdyti debesyje esančius, virtualius arba nuomojamus „Linux“ serverius. Remiantis „Web Technology Surveys“ duomenimis, net 37 proc. viešai prieinamų serverių veikia „Linux“ operacinės sistemos pagrindu. Siekiant pilnai perimti serverių kontrolę, dažniausiai atakos yra nukreipiamos į „OpenSSH“.
Tyrimas buvo atliktas pasinaudojant „Honeypot”, kitaip masalo hakeriams metodu. Klasifikuojant mėginius ir analizuojant skirtingus kenkėjiškų programų tipus, buvo parengta šiuo metu egzistuojančių „OpenSSH“ galinių durų prieigos, angl. „Backdoor“, kenkėjų apžvalga. ESET atlikta kenkėjiškų programų tipų analizė atskleidė kelis skirtingus būdus kaip virusai perima serverių kontrolę:
- Vienas kenkėjiškų programų tipas turi galimybę keliais būdais komunikuoti su „Command-and-control“ serveriu, įdiegiant HTTP, TPC ir DNS interneto protokolus.
- Kitos kenkėjiškos programos gaudavo komandas per SSH slaptažodį ir įtraukdavo kriptovaliutos kasimui skirtas funkcijas.
„Išsiaiškinti, kas kontroliuoja „Backdoor“ virusą, yra beveik neįmanoma. Be to, beveik visus tokius virusus aptikti yra itin sunku. Jie gali tūnoti serveryje ištisus mėnesius ar net metus ir tuo metu kaupti svarbią informaciją, pavyzdžiui, slaptažodžius, prisijungimo ar konfidencialius duomenis, parsisiųsti duomenų bazes, o surinkęs reikiamą informaciją - paleisti kietojo disko formatavimo komandą” - teigia ESET Lietuva IT inžinierius Ramūnas Liubertas.
Šį „Backdoor“ tyrimą atliko ESET vyr. kenkėjiškų programų tyrėjas Marc-Etienne'as Léveillé'is. Pasak jo, tokie kenkėjai yra itin pavojingi „Linux“ vartotojams: „Neretai girdime posakį, kad „Linux“ operacinė sistema yra saugesnė už daugumą kitų operacinių ir kažkaip geba turėti imunitetą virusams, tačiau tai yra pasenusi nuomonė. Į„Linux“nukreiptos atakos yra tokios pat pavojingos kaip ir bet kokiai kitai operacinei sistemai, todėl mes atliekame tyrimus ir kuriame apsaugą nuo šių kenkėjų“.
Šis ESET tyrimas prasidėjo nuo „Windigo“ vardu pavadintos operacijos dar 2013 metais, kuomet ESET aptiko sudėtingą„Linux“operacinės sistemos įrenginių botnet tinklą ir padėjo sustabdyti daugiau nei 25 tūkstančių kompiuterių, sujungtų į kenkėjišką tinklą, veiklą. „Windigo“ plitimo pagrindinis komponentas buvo „OpenSSH“ paremta galinių durų prieiga pavadinimu „Ebury“. ESET tyrėjai pastebėjo, kad šis kenkėjas nuolat tikrindavo, ar įrenginiuose nėra kitų SSH slaptažodžių galinių durų prieigų, ir juos atakuodavo. Tais metais apie galinių durų prieigas informacijos buvo nedaug, todėl ESET tyrėjai pradėjo sekti šias kenkėjiškas programas, o šie naujausi tyrimai yra sėkmingos veiklos rezultatas.
Pasak R.Liuberto, įmonės paprastai nori kuo greičiau įdiegti savo infrastruktūrą, tačiau būtinos saugumo priemonės turi būti taikomos nuo pat pradžių: „Dažnai paliekama galimybė jungtis prie serverio naudojant bazines priemones - tik slaptažodžiu paremtą autentifikaciją. Taikant sudėtingesnius jungimosi prie serverių saugumo metodus, įsilaužėliams apsunkinsite gyvenimą jiems bandant įsiskverbti į jūsų serverius ir padaryti žalos. Įsitikinkite, kad taikote kuo daugiau saugumo priemonių, nes antraip savo serverį atversite negailestingam plačiajam internetui“.
ESET pateikia rekomendacijas įmonėms, norint užtikrinti sistemų ir duomenų saugumą:
- Nuolat atnaujinkite turimas„Linux“sistemas į naujausią versiją.
- Pakeiskite standartinį„Linux“SSH prievadą.
- Jungiantis per SSH taikykite raktu paremtą autentifikaciją.
- Išjunkite galimybę nuotoliniu būdu jungtis su „root“ prisijungimu.
- Jungimuisi per SSH naudokite dviejų ar daugiau faktorių autentifikacijos sprendimą.
