Il consulente e sviluppatore IT Nazar Aziz ha scovato quella che, a suo dire, è una botnet Linux-powered che agisce seguendo un basso, bassissimo profilo , “spalmando” un attacco a forza bruta alla ricerca di password sui vari componenti della rete malevola, in modo da non insospettire sysadmin e sistemi di difesa proattiva impiegati per prevenire accessi indesiderati.
La botnet, che Aziz dice di aver individuato durante il monitoraggio dei server Linux che ha in gestione, prova a indovinare la password di accesso su server SSH ma lo fa in modo da non destare facili sospetti: piuttosto che provare all’infinito l’attacco a uno stesso bot, dopo tre tentativi falliti il sistema continua con il bot successivo e quindi con un diverso indirizzo IP. Usare uno stesso indirizzo IP per soli tre tentativi di accesso significa a suo dire rendere sostanzialmente invisibile la botnet .
Aziz avrebbe scovato il pattern dell’attacco solo grazie a un controllo dettagliato dei file di log generati dal tool di sicurezza e statistica per server SSH DenyHost . Piuttosto che concentrarsi sullo sfruttamento di particolari vulnerabilità, dunque, la botnet usa un database condiviso con cui tentare di individuare password non particolarmente sicure.
Col tempo, dice Aziz, il tentativo di penetrazione sui suoi server si è spostato dalle porte del protocollo SSH all’account root del sistema, ma quello che non è cambiato è il meccanismo usato per rendere invisibili le tracce dell’attacco. “Siccome l’attacco viene passato al prossimo bot (con un differente indirizzo IP), in effetti viene continuato senza essere individuato”, spiega.
Per contrastare la botnet, Aziz ha sviluppato uno script in grado di avvertire automaticamente gli amministratori dei server da cui sembrano partire i tentativi di accesso non autorizzato. Secondo le informazioni più aggiornate postate online, Aziz sostiene di aver spedito alcune notifiche e di aver ricevuto in risposta la conferma dell’effettiva compromissione dei server individuati .
Alfonso Maruccia