Niebezpieczny bot atakuje serwery www, a za ich pomocą - urządzenia sieciowe posługujące się protokołem SSH. Po raz pierwszy celem są urządzenia posługujące się systemem operacyjnym Linux. Według analityków chodzi o stworzenie mechanizmu szybkiego włamania na urządzenia sieciowe, co ułatwi potem pobranie ważnych danych z firm i urzędów państwowych - piszą portale bezpieczeństwa i informatyczne
Według portalu The Register, bot atakuje serwery stron internetowych używające starszych wersji oprogramowania PHPMyAdmin. Jest to napisane w języku PHP oprogramowanie do zarządzania bazą danych MySQL, konieczną do tworzenia i administrowania stronami internetowymi. Jeśli serwer nie został załatany poprawką stworzoną w kwietniu br. i wciąż posiada lukę w systemach bezpieczeństwa, bot instaluje na nim plik dd_ssh. Serwer wykonując polecenia tego skryptu zaczyna szukać w Sieci urządzeń takich jak routery, switche, czy huby, pracujące pod kontrolą systemu operacyjnego Linux i posługujące się protokołem SSH.
SSH to nazwa całej rodziny protokołów, stosowanych w terminalach, służących do przesyłania plików (SCP, SFTP), zdalnej kontroli zasobów, tunelowania oraz innych zastosowań w sieci. W tych protokołach transfer danych jest zaszyfrowany i możliwe jest rozpoznanie użytkownika.
Jeśli bot wykryje, że dane urządzenie posiada adres z listy, którą sam zawiera, wówczas inicjuje atak na nie. Według monitorującego aktywność i bezpieczeństwo w internecie serwisu DShield, należącego do SANS Institute, między 2. lipca a 10 sierpnia sześciokrotnie wzrosła liczba komputerów skanujących urządzenia SSH i trzykrotnie częściej takie urządzenia stały się celem ataków.
Według The Register z punktu widzenia hackerów taki typ ataku pozwala zmniejszyć koszty i przeprowadzić po kilka ataków na dane urządzenie SSH przez przejęty serwer, zanim przejdzie on do następnego na swojej liście routera czy switcha. W atakach tych chodzi bowiem o złamanie hasła administratora, dającego kontrolę nad całym urządzeniem, poprzez wypróbowywanie ogromnej ilości kombinacji możliwych haseł.
Według Security Blog chodzi prawdopodobnie nie tyle o przejęcie kontroli nad urządzeniami SSH "już teraz" ile o wypróbowanie nowej metody ataku, która pozwoli na szybkie wejście na urządzenie SSH, jak router, monitorowanie ruchu w korporacji lub ważnej instytucji rządowej i kradzież danych. Serwis ten radzi skonfigurowanie urządzeń SSH przy użyciu klucza kryptograficznego, co znacznie utrudni jeśli nie uniemożliwi ataki na nie.
