ESET, líder mundial en ciberseguridad y el mayor fabricante de software de seguridad de la Unión Europea, ha descubierto veintiuna familias, doce de ellas desconocidas hasta la fecha, de malware basado en OpenSSH que afectan a Linux. Las potentes herramientas maliciosas descubiertas por ESET son utilizadas ampliamente por cibercriminales que usan amenazas persistentes avanzadas (APT) que podrían tomar el control completo de los servidores Linux.
OpenSSH es la herramienta más utilizada por los administradores de sistemas Linux para gestionar servidores de Internet. Además, el hecho de que el 37% de los servidores expuestos de forma pública en Internet utilice el sistema operativo Linux, convierte a OpenSSH en un vector de ataque habitual cuando lo que se persigue es controlar de manera remota esos servidores.
La investigación llevada a cabo por ESET, y que incluyó el despliegue de honeypots o cibertrampas personalizadas para la clasificación de muestras y el análisis de varias familias de malware, proporcionó una visión del estado actual de las puertas traseras o backdoors OpenSSH.
Además, se descubrieron algunos mecanismos interesantes utilizados por los delincuentes. Por ejemplo, una de las familias de malware analizadas cuenta con diferentes modos para comunicarse con el servidor de mando y control (C&C), ya sea mediante la implementación de HTTP, o directamente en los TCP y DNS. Otras familias detectadas de malware son capaces de recibir comandos a través de las contraseñas de SSH o de incluir funcionalidades de minado de criptomonedas.
Según Marc-Étienne Léveillé, analista sénior de malware en ESET y responsable de esta investigación, “a veces todavía escucho la vieja cantinela de que Linux es más seguro que cualquier otro sistema operativo e, incluso, que Linux es inmune al malware. Pero las amenazas a las que se enfrenta este sistema operativo no son ninguna broma y, por ello, en ESET, dedicamos muchos recursos para mejorar la seguridad de estos sistemas”.
En 2013 ESET descubrió una compleja botnet o red de ordenadores zombis formada por 25.000 ordenadores con sistema Linux en la denominada operación Windigo. El componente clave de Windigo era una backdoor basado en OpenSSH llamado Ebury que comprobaba si otras puertas traseras estaban activos en el sistema antes de desplegarse. Debido a que, en aquel momento, las backdoors de este tipo eran prácticamente desconocidos, ESET empezó a investigar sobre ellos y el resultado se ha mostrado ahora.
Con el objetivo de proteger los sistemas y salvaguardar los datos, ESET recomienda a todas las organizaciones:
-que mantengan sus sistemas actualizados.
-que cuenten con autenticación basada en claves para SSH.
-que deshabiliten los accesos remotos.
-que utilicen una solución de autenticación multifactor para SSH.
-que descarguen ESET File Security como herramienta de seguridad.
“Esperemos que este tipo de descubrimientos mejoren las labores de prevención, detección y remediación en los futuros ataques basados en OpenSSH a servidores Linux. Los servidores comprometidos son una pesadilla, pero trabajando de forma conjunta los administradores de sistemas y los analistas de malware podremos ayudarnos mutuamente en la lucha contra el malware orientado a servidores”, concluye Léveillé.