Hackers están lanzando ataques de fuerza bruta SSH contra servidores Linux de baja seguridad para desplegar una puerta trasera llamada Chaos Backdoor.
Un especialista en seguridad cibernética lo describe como una puerta trasera que genera un shell inverso totalmente encriptado.
Chaos Backdoor era uno de los componentes del rootkit Linux “sebd” que apareció en el 2013, los investigadores en seguridad de datos aseguran saber cómo se hizo público Chaos Backdoor.
Parece que el código fuente fue capturado por un supuesto “investigador” que lo liberó en un foro al cambiar el nombre para engañar a los miembros haciéndoles creer que se trataba de una nueva amenaza.
El código ahora está siendo utilizado por hackers para atacar servidores Linux en todo el mundo. Los investigadores realizaron un escaneo en Internet utilizando el protocolo de enlace extraído del cliente para determinar el número de servidores Linux infectados y descubrieron que este número aun es bajo, cerca de 150 dispositivos.
La instalación de Chaos Backdoor comienza cuando el atacante descarga un archivo que simula ser un jpg. El archivo era actualmente un archivo .tar que contenía Chaos (ELF ejecutable), el cliente (ELF ejecutable), niveles de ejecución init Shell script, el script de instalación de Shell.
El archivo tar “Chaos”, es la puerta trasera real que está instalada en el sistema de la víctima y el archivo “Client” es el cliente para conectarse a la puerta trasera instalada. La puerta trasera no es sofisticada, no se basa en ningún exploit, sino que abre un socket en el puerto 8338 en el que escucha los comandos.
De acuerdo con especialistas en seguridad de datos, cualquier firewall decente bloquearía los paquetes entrantes a cualquier puerto que no se haya abierto explícitamente para fines operativos. Sin embargo, Chaos usa un socket sin formato, la puerta trasera puede activarse en puertos que ejecutan un servicio legítimo existente.
Para comprobar si su sistema está infectado, los expertos sugieren ejecutar el siguiente comando como raíz:
1 netstat -lwp
Después se debe analizar la lista de procesos para determinar cuáles son legítimos.
Chaos Backdoor no viene solo, normalmente contiene al menos un Bot IRC que tiene capacidades de ejecución remota de código, debido a esto los profesionales en seguridad cibernética aconsejan a los hosts infectados que se reinstalen completamente desde una copia de seguridad confiable con un nuevo conjunto de credenciales.