Bezpečnostní tým společnosti Check Point byl v červenci 2015 kontaktován zákazníkem, který zaznamenal neobvyklé aktivity souborového systému u jednoho linuxového DNS BIND serveru. Podezření vzbudilo velké množství zvláštních souborů zapsaných do citlivých systémových adresářů. (TZ)
Důkladná analýza systému výzkumným týmem společnosti Check Point rychle odhalila, že server byl skutečně ohrožen.
Zdrojem tohoto narušení bezpečnosti byl masivní SSH útok, který proběhl začátkem července. Útočící IP adresy pocházely z velmi rozsáhlé sítě a nejčastěji byly spojeny s čínskými poskytovateli internetových služeb. Pomocí této rozsáhlé útočné SSH sítě trvalo útočníkům jen několik dnů, než získali root přístup a plnou kontrolu nad cílovým serverem.
Jakmile měli útočníci přístup k serveru, nakazili celý systém nebezpečnými variantami škodlivých kódů XOR.DDoS a Groundhog, které způsobí, že se infikované stroje s linuxovým systémem zapojí do velkých útočných DDoS kampaní.
Celý report je k dispozici v příloze tohoto e-mailu.
Zákazníci se softwarovým bladem Check Point IPS se mohou chránit proti počátečnímu masivnímu SSH útoku aktivací a správným nastavením IPS ochrany „Multiple SSH Initial Connection Requests“.
Softwarové blady Check Point Anti-Virus a Anti-Bot nabízí různé signatury na ochranu zákazníků v před i po-infekční fázi. Signatury spojené s tímto botnetem mají následující označení:
- Backdoor.Linux.Xorddos
- Operator.Xorddos