Изпрати SMS|Новини|Онлайн превод
Кухни по поръчка | Съвети за мода и красота | Ваучери за намаления

Разкриха мащабна кампания към SSH сървъри

SSH

Специалисти от Talos Security (Cisco) са се натъкнали на активна кампания към публично достъпни SSH сървъри. Отличително за атаките е, че засекат ли машина, принадлежаща на министерството на отбраната на САЩ или Южна Корея, те биват прекратени.

Talos са кръстили кампанията GoScanSSH, заради това, че програмите, които се използват в нея са написани на Golang, използва SSH порт и има способността да сканира за уязвими машини в периметъра на вече пленените системи. Изследователите по сигурността споделят, че става дума за все още активна кампания, като досега са засекли над 70 уникални зловредни проби и множество техни версии. Най-ранните от тях датират от миналото лято. Изглежда, че цел на авторите на атаките е заразяването на възможно по-голям брой системи и организирането им в ботнет с цел използването им в бъдещи атаки. Нападателите се опитват да SSH кредитивите в Линукс сървъри, възползвайки се от речник с над 7000 комбинации от потребителско име и пароли. „Веднъж намерили валидни кредитиви, които позволяват SSH автентикация, бива създадена уникален вариант на GoScanSSH и се изпраща към компрометирания SSH сървър, след което следва и инфектирането на системата“, пишат Talos.

След това, програмата се опитва да откри параметрите на машината и ? се назначава уникален идентификационен номер, изпращайки тази информация към контролен сървър. Следващият етап е сканиране за допълнителни уязвими SSH сървъри, изложени на Интернет. Дан Матюс от LastLine коментира пред Infosecurity-Magazine и защо зловредната програма отказва да инфектира системи, принадлежащи на американските и корейските военни. Той предполага, че причината за това може да се крие в ресурсите и експертизата, с които разполагат обикновено администриращите този тип системи и мрежи и страха на авторите им да бъдат проследени и дейността им прекратена.

„Най-доброто, което всяка организация може да направи срещу атаки, свързани с използването на вече използвани пароли е да задейства някакъв тип мултифакторна авторизация, особено за услуги, като VPN, SSH сървъри и уеб/клауд базирани имейл услуги, които са достъпни от Интернет“, съветва Матюс.

Коментари
Все още няма коментари
Статистика
Прегледи302
Коментари0
Добавена на02 Апр 2018
ИзточникKaldata
Тагове
Talos
Още новини
Орбитална тревога: Критично изтичане на въздух отново застраши руския сегмент на МКС Microsoft губи GitHub: услугата е засегната от прекъсвания, хаос и масово напускане на разработчиците Без техническа поддръжка, актуализации и права: почти една трета от големите руски предприятия използват чуждестранен софтуер Загуба на слуха и мъртви пилета: още едно съдебно дело в Тексас срещу криптовалутната компания Mara Скъпият бензин върна Европа към електромобилите – продажбите избухнаха след кризата в Близкия изток Япония разработва самолет, който може да лети от Токио до Ню Йорк за по-малко от 2 часа