Pirati all’attacco dei server Linux su cloud: Huawei nel mirino

Ott 12, 2021 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, News, RSS 0

Individuata una campagna di attacchi che prende di mira il gigante cinese. Obiettivo: installare crypto-miner sui server dedicati al cloud.

Se lo vogliamo considerare un segno dei tempi, ila notizia che la Cina venga citata come nazione bersaglio di un attacco informatico è abbastanza rilevante. Protagonista Huawei, che sarebbe finita al centro di una campagna di attacchi che puntano ai suoi sistemi cloud.

Il malware individuato dai ricercatori di Trend Micro, che lo descrivono nei dettagli in questo report pubblicato sul sito ufficiale della società di sicurezza, prende di mira i sistemi Linux e adotta una serie di strategie che consentono ai cyber criminali di sfruttare al massimo la capacità computazionale dei server compromessi per i loro scopi.

La catena di attacco descritta dagli autori del report è estremamente lineare e prevede, per prima cosa, la disattivazione di alcuni servizi presenti sulla piattaforma cloud di Huawei che hanno funzioni di cyber security. Nel dettaglio si tratta di host guard service, che ha come scopo quello di individuare eventuali problemi di sicurezza, e cloudResetPwdUpdateAgent, la cui funzione è quella di consentire agli utenti il reset delle istanze Elastic Cloud Service.

Una volta sgombrato il campo dai servizi “indesiderati”, il malware (cui curiosamente non è stato assegnato un nome) si preoccupa di fare fuori eventuali concorrenti che possono aver compromesso gli stessi server.

L’obiettivo, secondo i ricercatori, è quello di evitare di trovarsi a condividere le risorse di sistema con altri “cryptojacker”, ottimizzando così l’efficacia dei miner.

La procedura di pulizia procede poi con l’eliminazione di tutti gli account potenzialmente legati a concorrenti e, solo a questo puto, prevede la creazione di nuovi account utente (con i privilegi massimi di amministrazione) sotto il controllo dei pirati informatici.

Non solo: per garantire persistenza e offuscamento al malware, viene avviata una procedura per l’installazione di TOR (The Onion Router) che viene utilizzato come canale esclusivo per le comunicazioni verso l’esterno.

I payload sono rappresentati da due binary distinti, i cui noi sembrano essere stati scelti per fare in modo che passino inosservati agli occhi deghli amministratori meno smaliziati: il primo si chiama linux64_shell e ha il compito di gestire le comunicazioni con il server Command and Control.

Il secondo, chiamato invece xlinux, agisce come vulnerability scanner, consente di sfruttare le vulnerabilità presenti nella piattaforma e installare lo script malevolo.

In particolare, il componente avvia una ricerca per individuare password deboli di Mongo DB; servizi FTP; SQLServer; Oracle WebLogic Server e PostgreSQL Server.

Insomma: il malware crea una sorta di “hub” che apre la strada alla diffusione degli script di mining sfruttando vulnerabilità piuttosto comuni.

Una strategia che porta i ricercatori di Trend Micro ad affermare che, in definitiva, la migliore strategia di difesa contro questa tipologia di attacchi non è rappresentata tanto dai sistemi anti-malware, quanto da una rigorosa adesione alle best practice in termini di sicurezza. Come dargli torto?

Condividi l'articolo