Китайские хакеры атакуют SSH-серверы на Linux для создания скрытой прокси-сети

Согласно статистике, собранной с помощью honeypot-ловушек, имитирующих уязвимые SSH-серверы, абсолютным лидером по числу атак остаётся червь P2PInfect, на долю которого пришлось более 70% всех зафиксированных инцидентов. Его основная цель - распространение в сетях и последующая установка вредоносного ПО. Однако значительную часть угроз также составляют ботнеты для организации распределённых атак типа "отказ в обслуживании" (DDoS), такие как Mirai, а также майнеры криптовалюты XMRig, Prometei и CoinMiner. Эти угрозы носят массовый, автоматизированный характер и нацелены на вычислительные ресурсы.

Гораздо более интересным и целенаправленным выглядит инцидент, детально описанный аналитиками ASEC. В ходе него злоумышленник, предположительно китаец, исходя из используемого инструментария, провёл сканирование на наличие открытого SSH-порта, успешно подобрал учётные данные и получил доступ к системе. Последовательность его команд была методичной: после входа он проверил сетевые настройки, содержимое рабочей директории, загрузку оперативной памяти и дисковое пространство. Эта разведка типична для оценки полезности захваченного сервера. Финальным шагом стала установка на систему инструмента V2Ray.

V2Ray - это мощный инструмент с открытым исходным кодом, предназначенный для создания прокси-соединений, туннелирования трафика и обхода ограничений доступа. Он поддерживает множество протоколов, включая VMess, VLESS, Trojan и Shadowsocks, что делает его крайне гибким решением для организации скрытых каналов связи. Установив его на скомпрометированный сервер, злоумышленник превращает его в анонимный прокси-узел, который может быть использован для дальнейших атак, сокрытия реального местоположения или организации доступа к заблокированным ресурсам. Примечательно, что в логах honeypot не было обнаружено следов установки другого вредоносного ПО, что указывает на узкую специализацию этой операции.

Последствия такой компрометации для владельца сервера многогранны. Во-первых, его интернет-канал и вычислительные ресурсы используются для чужих целей, что может привести к дополнительным расходам и снижению производительности. Во-вторых, весь трафик, проходящий через такой прокси, будет юридически ассоциироваться с владельцем сервера, что чревато претензиями со стороны правоохранительных органов или заблокированными IP-адресами. В-третьих, сервер становится элементом инфраструктуры злоумышленников, которая может быть задействована для атак на другие организации, включая государственные или финансовые учреждения.

Для предотвращения подобных инцидентов необходимы базовые, но строгие меры защиты. Учётные записи SSH должны быть защищены сложными паролями, которые регулярно меняются, а в идеале - аутентификацией на основе ключей. Доступ к SSH-сервису извне должен быть минимизирован с помощью брандмауэров и правил контроля доступа, также эффективно помогает изменение стандартного порта. Крайне важно своевременно применять обновления безопасности и отключать все неиспользуемые сетевые службы. Для раннего обнаружения подозрительной активности следует внедрить мониторинг логов, обращая внимание на необычные исходящие соединения, попытки открытия слушающих портов утилитой Netcat и процессы, связанные с V2Ray. Использование honeypot-систем и интеграция с платформами обмена данными об угрозах (Threat Intelligence Platforms, TIP) также позволяет собирать ценную информацию об источниках атак и методах их работы. В конечном счёте, инцидент с V2Ray служит напоминанием, что даже сервер, не представляющий прямой ценности для хакеров, может быть использован как плацдарм для более опасных операций, и его безопасность нельзя недооценивать.

IPv4

• 149.104.29.165

MD5

• bc72ff889e2b2a92834d5d88a97236e5