Los investigadores de la empresa coreana de antimalware AhnLab advierten sobre un ataque de la vieja escuela que, según dicen, se está produciendo mucho últimamente, en el que los ciberdelincuentes se cuelan en servidores shell de Linux y los utilizan como puntos de partida para otros ataques, a menudo contra terceros.
Las cargas útiles desatadas por esta banda de delincuentes poco sofisticados podrían no solo costarte dinero a través de facturas de electricidad inesperadas, sino también manchar tu reputación al utilizar tus recursos para cometer delitos.
Seguro solo de nombre
Estos atacantes utilizan el truco no muy secreto y nada complicado de encontrar servidores shell Linux que acepten conexiones SSH (Secure Shell) a través de Internet, y luego simplemente adivinar combinaciones comunes de nombre de usuario y contraseña con la esperanza de que al menos un usuario tenga una cuenta poco segura.
Los servidores SSH bien protegidos no permitirán a los usuarios iniciar sesión sólo con contraseñas, por supuesto, insistiendo normalmente en algún tipo de seguridad de inicio de sesión alternativa o adicional basada en pares de claves criptográficas o códigos 2FA.
Pero los servidores configurados con prisas, o lanzados en contenedores preconfigurados “listos para usar”, o activados como parte de un script de configuración más grande y complejo para una herramienta back-end que a su vez requiere SSH, pueden poner en marcha servicios SSH que funcionan de forma insegura por defecto, bajo la suposición generalizada de que te acordarás de ajustar las cosas cuando pases del modo de prueba al modo de funcionamiento en la red.
De hecho, los investigadores de Ahn observaron que incluso las simples listas de diccionarios de contraseñas parecen ofrecer resultados utilizables para estos atacantes, enumerando ejemplos peligrosamente predecibles que incluyen:
- root/abcdefghi
- root/123@abc
- weblogic/123
- rpcuser/rpcuser
- test/p@ssw0rd
- nologin/nologin
- Hadoop/p@ssw0rd
La combinación nologin/nologin es un recordatorio (como cualquier cuenta con la contraseña changeme) de que las mejores intenciones a menudo acaban en acciones olvidadas o resultados incorrectos.
Al fin y al cabo, una cuenta llamada nologin pretende autodocumentarse, llamando la atención sobre el hecho de que no está disponible para inicios de sesión interactivos, pero eso no sirve de nada (e incluso puede llevar a una falsa sensación de seguridad) si solo es segura de nombre.
¿Qué es lo siguiente que cae?
Los atacantes monitorizados en estos casos parecen decantarse por una o más de tres acciones diferentes, a saber:
- Instalar una herramienta de ataque DDoS conocida como Tsunami. DDoS son las siglas de ataque distribuido de denegación de servicio, que se refiere a un ataque en el que delincuentes con control sobre miles o cientos de miles de ordenadores comprometidos (y a veces más) les ordenan que empiecen a atacar en grupo el servicio online de una víctima. Se inventan peticiones que hacen perder el tiempo, de modo que parezcan inocentes cuando se consideran individualmente, pero que consumen deliberadamente los recursos del servidor y de la red para que los usuarios legítimos simplemente no puedan pasar.
- Instalar un kit de herramientas de minería de criptomonedas llamado XMRig. Aunque la minería fraudulenta de criptomonedas no suele hacer ganar mucho dinero a los ciberdelincuentes, suele tener tres consecuencias. En primer lugar, tus servidores acaban con una capacidad de procesamiento reducida para el trabajo legítimo, como la gestión de las solicitudes de inicio de sesión SSH; en segundo lugar, cualquier consumo adicional de electricidad, por ejemplo debido a la carga extra de procesamiento y aire acondicionado, se produce a tu costa; en tercer lugar, los delincuentes de la minería de criptomonedas suelen abrir sus propias puertas traseras para poder entrar más fácilmente la próxima vez y hacer un seguimiento de sus actividades.
- Instalar un programa zombi llamado PerlBot o ShellBot. El llamado bot o malware zombi es una forma sencilla de que los intrusos actuales envíen más comandos a tus servidores comprometidos cuando quieran, incluyendo la instalación de malware adicional, a menudo en nombre de otros estafadores que pagan una “cuota de acceso” para ejecutar código no autorizado de su elección en tus ordenadores.
Como ya se ha mencionado, los atacantes que son capaces de implantar nuevos archivos de su elección a través de inicios de sesión SSH comprometidos, a menudo también modifican tu configuración SSH existente para crear un nuevo inicio de sesión “seguro” que puedan utilizar como puerta trasera en el futuro.
Modificando las llamadas claves públicas autorizadas en el directorio .ssh de una cuenta existente (o recién añadida), los delincuentes pueden volver en secreto más adelante.
Irónicamente, el inicio de sesión SSH basado en claves públicas suele considerarse mucho más seguro que el inicio de sesión basado en contraseñas de la vieja escuela.
En los inicios de sesión basados en claves, el servidor almacena tu clave pública (que es seguro compartir), y luego te reta a firmar un desafío aleatorio único con la clave privada correspondiente cada vez que quieras iniciar sesión.
Nunca se intercambian contraseñas entre el cliente y el servidor, por lo que no hay nada en la memoria (ni se envía a través de la red) que pueda filtrar información sobre contraseñas que pudiera ser útil la próxima vez.
Por supuesto, esto significa que el servidor debe tener cuidado con las claves públicas que acepta como identificadores en línea, porque implantar sigilosamente una clave pública falsa es una forma furtiva de concederte acceso en el futuro.
¿Qué hacer?
- No permitas inicios de sesión SSH solo con contraseña. Puedes cambiar a la autenticación de clave pública-privada en lugar de contraseñas (buena para los inicios de sesión automatizados, porque no hay necesidad de una contraseña fija), o también a las contraseñas habituales de siempre (una forma sencilla pero eficaz de 2FA).
- Revisa con frecuencia las claves públicas en las que se basa tu servidor SSH para los inicios de sesión automáticos. Revisa también la configuración de tu servidor SSH, por si atacantes anteriores han debilitado sigilosamente tu seguridad cambiando los valores predeterminados seguros por alternativas más débiles. Entre los trucos más comunes se encuentran habilitar inicios de sesión root directamente en tu servidor, escuchar en puertos TCP adicionales o activar inicios de sesión solo con contraseña que normalmente no permitirías.
- Utiliza herramientas XDR para vigilar la actividad que no esperarías. Aunque no detectes directamente archivos de malware implantados como Tsunami o XMRig, el comportamiento típico de estas ciberamenazas suele ser fácil de detectar si sabes qué buscar. Unas ráfagas inesperadamente altas de tráfico de red hacia destinos que normalmente no verías, por ejemplo, podrían indicar una exfiltración de datos (robo de información) o un intento deliberado de realizar un ataque DDoS. Una carga elevada y constante de la CPU podría indicar esfuerzos de criptominería o criptocracking fraudulentos que están absorbiendo la potencia de tu CPU y, por tanto, consumiendo tu electricidad.
Nota. Los productos de Sophos detectan los programas maliciosos mencionados anteriormente, y enumerados como IoC (indicadores de compromiso) por los investigadores del AhnLab, como Linux/Tsunami-A, Mal/PerlBot-A y Linux/Miner-EQ, por si quieres comprobar tus registros.