Группа хакеров, инфицирующая веб-серверы поддельным модулем для сервера Apache, начала заниматься распространением сервиса SSH со встроенным бэкдором для кражи паролей и администраторских данных на серверах. В последнем случае группа хакеров заменяет все двоичные файлы, связанные с SSH на скомпрометированных серверах бэкдор-версией, созданной специально для перехвата всех вводимых через SSH-сессии данных и их передачи на подконтрольный сторонний сервер. Об этом рассказали в компании Sucuri, занимающейся защитой от веб-атак.
"Мне доводилось видеть SSHD-бэкдоры в прошлом, правда в небольшом масштабе и не на публичных серверах. Однако новая атака отличается от всего ранее виденного", - говорит Дэниэль Сид, технический директор Sucuri. "Хакеры модифицируют не только SSH-демон, но и все SSH-бинарники (SSH, SSH-агент и SSHD) с основной целью - похитить учетные данные с сервера".
При помощи подобной техники потенциальные злоумышленники могут получить контроль над скомпрометированной машиной даже в том случае, если администратор сервера сменит свой пароль и все пользовательские пароли. В случаях, расследованных Sucuri, администратор удалил мошеннический модуль для Apache, сменил все пароли, но атака все равно повторилась через несколько дней, говорит Сид.
По его словам, перехват обновленных данных был осуществлен как раз через бэкдор-SSH, который хакеры оставили на сервере еще с первой атаки. "Это достаточно нетривиальный шаг, который позволяет вам однажды проникнув в систему, подчинять ее на протяжении длительного времени без опасности обнаружения. Первое вторжение на сервер можно осуществить самыми разными способами: перебором паролей, за счет использования какой-либо сторонней уязвимости, либо просто украв настоящие данные каким-то способом", - говорит Денис Синегубко, создатель секьюрити-сканера Unmask Parasites.
По его данным, волна атак с поддельными Apache-модулями прошла в сети с августа по октябрь прошлого года. Большая часть этих модулей форсировала выведение специального фрейма на всех сайтах под управлением сервера, где пользователи переводились на злонамеренные ресуры.
Многие из этих атак были связаны с набором хакерского ПО DarkLeech. Сейчас у специалистов нет данных о том, что бэкдор-SSH был включен в состав новой версии DarkLeech.
Источник: CyberSecurity
|