Des chercheurs ont identifié un nouveau botnet Linux appelé SSHStalker qui repose sur le protocole IRC obsolète pour ses opérations de commande et de contrôle. Le botnet se propage par balayage SSH et force brute, ciblant les infrastructures cloud. Il intègre d'anciennes vulnérabilités et mécanismes de persistance pour une infection large.
Le botnet SSHStalker, documenté par la société d'intelligence des menaces Flare, fonctionne en utilisant le protocole Internet Relay Chat (IRC), développé à l'origine en 1988 et populaire dans les années 1990 pour les messages basés sur du texte. Ce choix met l'accent sur la simplicité, la faible bande passante et la résilience via plusieurs bots basés sur C et des serveurs et canaux redondants, plutôt que des techniques de furtivité avancées. L'infection initiale se produit via un outil basé sur Go déguisé en scanner réseau nmap, qui effectue des balayages SSH bruyants et des attaques par force brute. Une fois à l'intérieur d'un hôte, le malware utilise le système compromis pour scanner d'autres cibles, permettant une propagation de type ver. Flare a analysé un fichier contenant les résultats de près de 7 000 balayages effectués en janvier, principalement visant l'infrastructure Oracle Cloud. Après avoir obtenu l'accès, SSHStalker télécharge le compilateur GCC pour construire les charges utiles directement sur la machine victime, améliorant la portabilité. Il déploie ensuite des bots IRC codés en C avec des serveurs et canaux de commande et contrôle prédéfinis pour intégrer l'hôte au réseau. Des composants supplémentaires des archives nommées GS et bootbou gèrent l'orchestration. La persistance est maintenue par des tâches cron s'exécutant toutes les 60 secondes, agissant comme un watchdog pour redémarrer le processus principal s'il est terminé. Pour l'escalade de privilèges, le botnet exploite 16 vulnérabilités et expositions communes (CVEs) des noyaux Linux de 2009-2010, après une entrée initiale à faible privilège. Les fonctionnalités de monétisation incluent la récolte de clés AWS, le balayage de sites web et le déploiement de PhoenixMiner pour le minage de cryptomonnaies Ethereum. Des outils DDoS sont intégrés mais non utilisés jusqu'à présent ; les bots se connectent généralement aux serveurs C2 et restent inactifs, indiquant des tests possibles ou un stockage de ressources. Flare note des similitudes avec la famille de botnets Outlaw/Maxlas et des indicateurs liés à la Roumanie, mais ne l'a pas lié à un groupe spécifique. Pour le contrer, l'entreprise recommande de surveiller l'activité des compilateurs, le trafic sortant IRC et les tâches cron fréquentes. Les mesures défensives incluent la désactivation des connexions SSH par mot de passe, la suppression des compilateurs des environnements de production, l'application de filtres de sortie et le blocage de l'exécution dans /dev/shm.
