SSHStalker Botnet Uses IRC C2 to Control Linux Systems via Legacy Kernel Exploits

Botnet SSHStalker : Exploitation du passé pour un contrôle persistant

Une nouvelle menace, baptisée SSHStalker, cible les systèmes Linux en exploitant des vulnérabilités connues datant de 2009 et 2010. Cette botnet utilise le protocole IRC (Internet Relay Chat) pour ses communications de commande et de contrôle (C2). Elle automatise la compromission de masse en scannant les ports SSH ouverts pour étendre son réseau.

Contrairement à d’autres botnets qui visent des actions immédiates comme les attaques DDoS, le minage de cryptomonnaies ou le proxyjacking, SSHStalker semble se concentrer sur le maintien d’un accès persistant, potentiellement pour des opérations futures. Elle incorpore des outils de dissimulation tels que des “nettoyeurs de logs” et des artefacts de type rootkit pour effacer ses traces. De plus, un composant “keep-alive” assure que le processus principal du malware redémarre rapidement s’il est interrompu.

Points Clés :

• Protocole C2 : Utilisation d’IRC pour les communications de commande et de contrôle.
• Méthode d’infection : Scan du port SSH (port 22) pour identifier et compromettre des systèmes vulnérables.
• Stealth : Utilisation de rootkits et de nettoyeurs de logs (utmp, wtmp, lastlog) pour masquer la présence.
• Persistance : Un mécanisme de “keep-alive” relance le processus malveillant en cas d’arrêt.
• Pas d’activité post-exploitation immédiate : La botnet maintient un accès dormant, suggérant une utilisation pour la mise en scène, le test ou la rétention d’accès stratégique.
• Outils supplémentaires découverts : Rootkits, mineurs de cryptomonnaies, script Python pour voler des secrets AWS exposés, et un bot IRC (EnergyMech).
• Origine suspectée : Des indices linguistiques et des conventions de nommage suggèrent une origine roumaine, avec des similitudes avec le groupe de pirates “Outlaw” (ou Dota).
• Technologie : Le cœur du botnet est développé en Go, avec des composants en C, shell, Python et Perl.

Vulnérabilités exploitées (liste non exhaustive) :

• CVE-2009-2692
• CVE-2009-2698
• CVE-2010-3849
• CVE-2010-1173
• CVE-2009-2267
• CVE-2009-2908
• CVE-2009-3547
• CVE-2010-2959
• CVE-2010-3437

Recommandations :

• Mise à jour des systèmes : Appliquer les correctifs de sécurité aux systèmes Linux, en particulier ceux fonctionnant avec des versions de noyau anciennes.
• Sécurisation SSH : Fortifier les configurations SSH, limiter les accès et utiliser des méthodes d’authentification robustes (comme l’authentification par clé publique).
• Surveillance du réseau : Surveiller le trafic réseau pour détecter des communications suspectes via IRC.
• Gestion des accès : Contrôler et auditer les accès aux systèmes, notamment les accès privilégiés.
• Inventaire des actifs : Maintenir un inventaire précis des systèmes pour identifier les machines potentiellement oubliées ou obsolètes.

Source