חברת אבטחת המידע ESET, הכריזה על הממצא האחרון שלה – 12 משפחות נוזקות חדשות ללינוקס המתבססות על OpenSSH, שמתועדות ומתוארות במחקר האחרון שלה, “הצד האפל של ForSShe”. הכלים העוצמתיים הללו נותנים לתוקפים שליטה מלאה במערכות של שרתי לינוקס, והם משמשים גם קבוצות פשיעה וגם קבוצות APT. OpenSSH הוא הכלי הנפוץ ביותר בקרב מנהלי מערכות לניהול של שרתי לינוקס פיזיים, וירטואליים ושרתים בענן. מכיוון ש-37% משרתי האינטרנט שנגישים לציבור מתבססים על לינוקס, במקרים רבים פרוטוקול ה-OpenSSH הוא נקודת התורפה אותה מנצלים התוקפים כדי לקבל לשליטה מלאה בשרתים שאותם הם תוקפים.
המחקר, שכלל הפצה של מלכודות דבש ייחודיות, סיווג של מדגמים וניתוח של משפחות נוזקות שונות, מספק סקירה של המצב הנוכחי של פרצות ב-OpenSSH. באמצעות ניתוח המדגמים, חוקרי ESET חשפו כמה טריקים מעניינים; אחת הנוזקות משתמשת בכמה דרכים שונות כדי ליצור קשר עם שרת השליטה והבקרה שלה, תוך שימוש בפרוטוקולי HTTP, TCP ו-DNS. משפחות אחרות של נוזקות היו מסוגלות לקבל פקודות דרך סיסמת ה-SSH; אחרות כללו אפשרות לכריית מטבעות דיגיטליים.
מארק-אטיין לֶוֵויֵיה, חוקר נוזקות בכיר ב-ESET שהוביל את המחקר, התייחס לחשיבותם של איומים מסוג זה: “לפעמים אני עדיין שומע את האמרה הישנה שאומרת שמערכת לינוקס בטוחה יותר ממערכות הפעלה אחרות ושהיא חסינה לנוזקות. עם זאת, האיומים איתם מערכת ההפעלה הזאת מתמודדת אינם קלים יותר, ואנחנו מקדישים משאבים רבים כדי לחקור אותם ולשפר את ההגנה מפניהם”.
המחקר החדש של ESET נובע מהמסקנות אותן הסיקה מהמחקר אודות Windigo ב-2013, בו חוקרי ESET חשפו נוזקת Botnet מורכבת למערכות מבוססות לינוקס, שכונתה מבצע Windigo, וסייעו לפגוע בפעולתה של נוזקת ה-Botnet שפגעה ב-25,000 שרתים. המרכיב העיקרי של נוזקת Windigo היה פרצה מבוססת OpenSSH שנקראת Ebury. חוקרי ESET ציינו שהתוקפים בחנו האם ישנן פרצות SSH אחרות במערכת היעד לפני ששלחו את הנוזקה. מכיוון שרוב הנוזקות לא היו מוכרות באותו הזמן, ESET החליטה לחקור אותן, והמחקר האחרון הוא התוצאה של המאמץ הרב שהושקע בכיוון הזה.
*הודעה לעיתונות