Bij een aanval op Linux- en IoT-systemen maken aanvallers gebruik van een malafide OpenSSH-versie om toegang tot het systeem te behouden en inloggegevens te onderscheppen, zo stelt Microsoft in een analyse. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren.
De aanval begint met een bruteforce-aanval op verkeerd geconfigureerde Linux-systemen die vanaf internet toegankelijk zijn, aldus het techbedrijf. Zodra er toegang tot het systeem is verkregen wordt de shell history uitgeschakeld, een backdoor geïnstalleerd en de broncode van OpenSSH gedownload, aangevuld met verschillende malafide bestanden. Via deze bestanden wordt OpenSSH gepatcht, gecompileerd en geïnstalleerd.
De aangepaste OpenSSH-versie geeft de aanvallers toegang tot het systeem en maakt het mogelijk om SSH-inloggegevens die op het systeem worden ingevoerd te onderscheppen. Daarnaast doet de aangepaste OpenSSH-versie zich voor als een legitieme OpenSSH-server, wat detectie kan bemoeilijken, aldus Microsoft. Het techbedrijf waarschuwt dat de aanvallers via de gepatchte OpenSSH-versie ook andere systemen kunnen aanvallen. De aanvallers blijken ook twee rootkits te installeren en malware die het besmette systeem inzet voor cryptomining.
Beheerders en organisaties kunnen zich echter tegen dergelijke aanvallen wapenen door ervoor te zorgen dat hun apparaten goed zijn geconfigureerd. Zo moet het standaard wachtwoord worden gewijzigd en moet er geen externe toegang tot SSH zijn, adviseert Microsoft. Verder moet het systeem up-to-date met de laatste firmware en beveiligingsupdates zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.