3 nuevas amenazas para Linux descubiertas en 1 semana
En las dos últimas semanas se han juntado varios nuevos dolores de cabeza para los administradores de sistemas Linux o, al menos, cosas que conviene revisar por si estamos expuestos a estas vulnerabilidades o peligros.
Hablamos de 2 amenazas de tipo malware de reciente aparición, unidos a un nuevo ataque de criptomining. Todos ellos son capaces de afectar a sistemas basados en GNU/Linux, tradicionalmente un sistema considerado más seguro que Windows.
Posibles ataques a sistemas Linux
Lucifer (Monero botnet)
Empezando por el ataque de tipo criptominero (cryptominer) cuyo nombre es Lucifer, tenemos que se trata de una botnet híbrida con capacidades DDoS probadas, conocida por haber infectado en el pasado máquinas Windows para realizar minería de Monero (XMR).
Ahora, este ataque está buscando infectar sistemas Linux con bots de minado. Da igual si son servidores o clientes. La versión del malware Lucifer tiene las mismas capacidades ya vistas en la versión Windows, sumado adicionalmente que puede usarse en ataques de tipo HTTP.
FritzFrog
La siguiente amenaza se llama FritzFrog, se trata de otra botnet considerada como peligrosa y que ya estuvo haciendo de las suyas en sistemas del gobierno, de universidades o sector financiero.
Está escrito en lenguaje Golang y ensambla y ejecuta su payload dentro de la memoria. Es decir, es un malware fileless o sin archivos, lo que reduce sus trazas a la mínima expresión y dificulta el triage posterior. Cuando se ha instalado en su nuevo anfitrión, se comunica mediante un canal cifrado que le permite recibir más de 30 comandos.
Este malware se autoejecuta en varios hilos para así facilitar su replicación, despliegue y crecimiento. Es interesante el script que ha publicado Guardicore, ya que nos permite determinar si hemos sido infectados con FritzFrog.
Drovorub
Llegamos a la estrella de todos, Drovorub. Por si lo anteriormente comentado fuera poco, este conjunto de herramientas es capaz de implantar una backdoor o puerta trasera en un sistema Linux y, de esta forma, realizar acciones diversas:
- Descargar o enviar ficheros
- Ejecutar comandos como superusuario
- Realizar reenvío de puertos al exterior (port forwarding)
En el documento publicado por la NSA (Agencia de Seguridad Nacional de EEUU) y el FBI, se avisa sobre este hasta la fecha desconocido malware, alegando que su origen es ruso y estaría tras él la unidad militar 26165 (GTsSS), conocida a veces en el sector privado como Fancy Bear, Strontium o APT28.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.