Microsoftはこのほど、「IoT devices and Linux-based systems targeted by OpenSSH trojan campaign|Microsoft Security Blog」において、管理が不十分なLinuxおよびIoTデバイスを標的としたサイバー攻撃が展開されていると伝えた。ブルートフォース攻撃を仕掛け、OpenSSHを悪用するキャンペーンが特定された。
このサイバー攻撃のキャンペーンの初期アクセスは、設定ミスがあるLinuxシステムまたはIoTデバイス上で認証情報が試行され、ターゲットデバイスへの侵入を試みることから始まる。侵入に成功すると、シェルの履歴が無効化されるとともに、侵害されたパッチ適用済みのOpenSSHアーカイブファイルがリモートサーバからダウンロードされ、OpenSSHと共に悪意のあるファイルを含むバックドアがインストールされてしまう。バックドアはShell Script Compiler(shc)と呼ばれるオープンソースプロジェクトを使用してコンパイルされたシェルスクリプトとされ、さらなる攻撃や追加のツールを展開できるよう設計されていることがわかった。
バックドアには、ハイジャックしたデバイスがハニーポットであるかどうかをチェックする機能が組み込まれている。/procへのアクセスを試み、アクセスできない場合はデバイスがハニーポットであると判断して終了する。逆にハニーポットと判断されなかった場合、オペレーティングシステムのバージョンやネットワーク構成、/etc/passwdおよび/etc/shadowの内容など、デバイスに関する情報を流出させることが判明している。また、Diamorphine、Reptile、logtamperと呼ばれるオープンソースのツールをインストールし、活動の隠蔽を図ることもわかっている。
OpenSSHソースコードにバックドアを組み込むパッチを適用し、修正されたOpenSSHをコンパイルしてデバイスにインストールすることも明らかになっている。このバックドアによりSSH認証情報へのアクセスが可能になり、パスワードおよび暗号鍵の情報が傍受されてしまう。修正されたバージョンのOpenSSHは、正規のOpenSSHサーバの外観と動作を模倣しているため、他の悪意のあるファイルよりも検出が困難になる可能性があると指摘されている。
ZiggyStarTuxが含まれたペイロードを実行することも確認されている。ZiggyStarTuxはIRCボットで、コマンド&コントロール(C2: Command and Control)サーバから発行されたbashコマンドを実行し、分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)機能を有しているという。
この脅威からシステムを保護するための緩和策として、インターネットに接続するデバイスを保護して安全な設定を行うことやデバイスのファームウェアおよびパッチを最新の状態に保つこと、リモートアクセスを制限してOpenSSHを最新バージョンにアップデートするなどが挙げられている。