I ricercatori di Microsoft hanno scoperto una campagna di cryptojacking che sfrutta le risorse dei dispositivi IoT per il mining delle criptovalute. Gli attacchi, effettuati anche contro sistemi Linux, utilizzano tool open source per installare backdoor e rubare le credenziali SSH.
Dispositivi IoT per il mining
La catena di infezione prevede innanzitutto la ricerca di dispositivi vulnerabili (ad esempio per errata configurazione) o l’uso della forza bruta per trovare le credenziali di accesso. Viene quindi scaricato dal server remoto un pacchetto OpenSSH che contiene il codice sorgente originale, uno script di shell, una backdoor e un altro script di shell che include i file usati dalla backdoor.
La backdoor raccoglie varie informazioni sul dispositivo e scarica due rootkit open source (Diamorphine e Reptile) da GitHub. La backdoor elimina tutti i log di sistema per nascondere le sue attività ed elimina eventuali miner concorrenti per monopolizzare le risorse. Utilizzando il codice sorgente nel pacchetto, la backdoor compila e installa una versione modificata di OpenSSH.
La versione fake di OpenSSH garantisce la persistenza e permette di intercettare le password della connessione SSH. La backdoor installa un secondo payload, ovvero una versione modificata di ZiggyStarTux, un bot IRC basato sul malware Kaiten che può effettuare attacchi DDoS (Distributed Denial of Service).
Il bot riceve comandi bash da un server IRC che consentono di scaricare due script di shell. Uno effettua la scansione degli indirizzi IP della rete, mentre l’altro scarica un archivio TGZ che contiene il malware usato per il cryptomining.