O grupo de hackers chinês Evasive Panda, também conhecido como DaggerFly, encontrou uma nova vulnerabilidade em dispositivos de rede baseados em Linux. Ao explorar o daemon SSH (Secure Shell), os invasores fornecem malware nos sistemas, permitindo que eles permaneçam ocultos por longos períodos, coletando dados seguros e executando ações sem serem detectadas. Este ataque evidencia o quão sofisticados os cibercriminosos estão tornando a fragilidade de muitos sistemas de rede.
Como o ataque acontece: ELF/Sshdinjector.A!tr
A ferramenta maliciosa utilizada pelo grupo, chamada “ELF/Sshdinjector.A!tr”, é responsável por orquestrar o ataque. Embora os detalhes de como os hackers acessaram inicialmente o dispositivo não sejam totalmente claros, o método de invasão ocorre após a penetração no sistema Linux. Uma vez dentro, o invasor verifica a presença de arquivos maliciosos e se há permissões de root. Quando o acesso é confirmado, os hackers instalam vários arquivos contratados.
Um dos principais arquivos usados ??no ataque é a biblioteca falsa SSH, libsssdh.so, que atua como um backdoor. Esse arquivo permite o controle total do dispositivo infectado, permitindo o envio de comandos remotos e o roubo de informações provisórias. Outros arquivos, como mainpasteheader e selfrecoverheader, garantem que a infecção permaneça ativa por períodos prolongados, dificultando a remoção.
Controle total do sistema comprometido
Com o SSH confirmado, os hackers adquirem controle quase irrestrito sobre o dispositivo. Isso possibilita a execução de até 15 comandos diferentes, incluindo:
- Coleta de dados como endereços MAC e detalhes do hardware.
- Acesso a arquivos sensíveis, como senhas armazenadas e logs do sistema.
- Transferência de arquivos, renomeação de diretórios e listagem de arquivos.
- Abertura de um shell remoto para executar comandos diretamente.
Notícias Relacionadas
Melhorias técnicas
Suporte a protocolos de temporização e enfileiramento Wayland no GNOME Mutter
O Mutter do GNOME agora oferece suporte aos protocolos de temporização e fila do Wayland, permitindo que os clientes agendem atualizações de superfície e utilizem a semântica FIFO para apresentações avançadas.
Atualização importante
Azure Linux 3.0 atualiza suporte a drivers AMD e novas funcionalidades
O Azure Linux 3.0.20250102 oferece novos repositórios de driver AMD para aprimorar o suporte a GPUs, além de atualizações de pacotes e melhorias de segurança.
Com esse nível de acesso, os cibercriminosos podem monitorar processos em andamento, executar comandos externos e até utilizar os dispositivos comprometidos para lançar ataques subsequentes.
Implicações para a segurança de redes
A investigação realizada pelo Evasive Panda ressalta a necessidade urgente de proteção de sistemas de rede, especialmente considerando o protocolo SSH, que é frequentemente visto como seguro. Se não for configurado corretamente ou não for atualizado, o SSH pode tornar um ponto de entrada vulnerável para os hackers. Além disso, é evidente a importância de ferramentas de monitoramento para identificar comportamentos específicos nos dispositivos.
Como se proteger contra esses ataques
Para reduzir os riscos de ataques semelhantes, as organizações devem adotar algumas práticas de segurança:
- Manter os sistemas atualizados : Aplique patches regularmente para corrigir vulnerabilidades conhecidas.
- Fortalecer a autenticação : Utilize autenticação multifatorial (MFA) para acessar sistemas via SSH.
- Monitoramento constante : Verifique os logs SSH em busca de atividades suspeitas, como tentativas de acesso root não autorizados ou alterações em arquivos do sistema.
- Sistemas de detecção de intrusão (IDS) : Implemente soluções que possam identificar e bloquear tráfego malicioso.
A mais recente campanha do grupo Evasive Panda serve como um alerta sobre a evolução das ameaças cibernéticas, lembrando que a vigilância contínua e as ações preventivas são essenciais para proteger os sistemas.
