Hace poco hemos hablado de lo importante que era mantener correctamente protegidos estos servicios, recomendando su desactivación en caso de no utilizarlos. En este artículo, os vamos a hablar de una amenaza que se ha detectado en Internet. Se sirve de servicios SSH de equipos Linux que no están protegidos de forma correcta. El nombre de la amenaza es GoScanSSH y se encuentra en pleno proceso de expansión.
Sí, lo raro de esta amenaza, sin lugar a dudas, es que afecta a equipos Linux. Lo que sí está claro es que esto es cada vez algo frecuente. Tampoco es raro encontrar equipos personales o servidores con servicios de control remoto que no están protegidos de forma correcta.
El malware GoScanSSH posee una serie de particularidades, pero la que más llama la atención es aquella que trata de identificar la organización a la que pertenece el equipo. O lo que es lo mismo, evita los equipos que se encuentren en organizaciones gubernamentales.
Con el resto, no hace ningún de distinciones, y muestra el mismo comportamiento, bien sean equipos de usuarios particulares o servidores de grandes empresas. Una vez infectados, los expertos indican que GoScanSSH se vale del equipo para realizar un análisis mucho más amplio y llevar a cabo su expansión.
A pesar de todo, el proceso de infección de un equipo es bastante complejo, tal y como vamos a ver a continuación.
Proceso de infección de GoScanSSH
Antes de llegar al equipo, el malware selecciona una dirección IP de Internet de forma aleatoria, comprobando si el puerto 22 está abierto. De ser así, trata de realizar una resolución de nombres sobre esa dirección, detectando si posee algún dominio .mil, .gov, .army, .airforce, .navy, .gov.uk, .mil.uk, .govt.uk, .mod.uk, .gov.au, .govt.nz, .mil.nz, .parliament.nz, .gov.il, .muni.il, .idf.il, .gov.za, .mil.za, .gob.es, .police.uk.
Tras esta comprobación recurre a un diccionario para averiguar cuáles pueden ser las credenciales de acceso. Muchos usuarios o administradores no modifican la contraseña por defecto de estos servicios, o si se modifica, no es robusta, pudiendo llevar a cabo el login en este servicio.
Una vez se ha hecho con el control del dispositivo, comienza con la instalación de software que descarga desde servidores accesibles desde Internet.
Desde Cisco Talos indican que se han detectado unas 70 variantes de esta amenaza.
Crear una botnet con los equipos afectados
Expertos en seguridad indican que la finalidad no parece muy clara. Algunos se atreven a decir que los equipos conforman una botnet, pero no se sabe cuál es la finalidad o funciones que pueden desempeñar los equipos que forman parte de ella.
Otros se decantan por la utilización de los servidores para realizar el minado de criptomonedas, algo que está muy de moda en la actualidad.
Un grupo de expertos ha publicado un listado con aquellos dispositivos que por el momento son sensibles de verse afectados:
- Open Embedded Linux Entertainment Center (OpenELEC)
- Raspberry Pi boards
- Open Source Media Center (OSMC)
- Ubiquiti routers
- PolyCom SIP phones
- Dispositivos deHuawei
- Servidores Asterisk, incluido aquellos que hacen uso de la distro Elastix
Os recomendamos leer nuestro tutorial sobre características protocolo TCP vs UDP y diferencias.