Botnet SSHStalker
Des analystes en cybersécurité ont découvert une opération de botnet nommée SSHStalker, qui exploite le protocole IRC (Internet Relay Chat) pour les communications de commande et de contrôle (C2). En combinant les mécanismes classiques des botnets IRC avec des techniques de compromission massive automatisées, cette campagne témoigne d'une approche calculée et méthodique de l'infiltration d'infrastructures.
Contrairement aux réseaux de bots modernes qui privilégient une monétisation rapide, SSHStalker met l'accent sur la persistance et l'expansion contrôlée, signalant un objectif potentiellement stratégique plutôt qu'un gain financier immédiat.
Table des matières
Stratégie d’exploitation : Cibler les failles oubliées et non corrigées
SSHStalker est avant tout conçu pour les systèmes Linux anciens. Cet outil exploite 16 vulnérabilités du noyau Linux, dont beaucoup remontent à 2009 et 2010. Bien que généralement inefficaces contre les systèmes modernes entièrement mis à jour, ces failles restent exploitables contre les infrastructures obsolètes ou négligées.
Parmi les vulnérabilités notables exploitées lors de cette campagne figurent CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 et CVE-2010-3437. Ce recours à des failles anciennes témoigne d'une stratégie pragmatique : exploiter des environnements hérités et obsolètes qui échappent souvent à la surveillance de sécurité moderne.
Expansion de type ver via l’automatisation SSH
SSHStalker intègre des capacités d'analyse automatisée pour étendre son champ d'action. Un scanner basé sur Golang analyse activement le port 22 afin d'identifier les systèmes exposant des services SSH. Une fois découverts, les hôtes vulnérables sont compromis et ajoutés à des canaux IRC, ce qui permet au botnet de se propager de manière exponentielle.
Plusieurs charges utiles sont déployées lors de l'infection, notamment des variantes d'un bot contrôlé par IRC et un bot de fichiers basé sur Perl. Ces composants se connectent à un serveur UnrealIRCd, rejoignent des canaux de contrôle désignés et attendent des instructions. L'infrastructure prend en charge les attaques par inondation coordonnées et la gestion centralisée des bots.
Malgré ces capacités, la campagne s'abstient notamment de recourir aux activités de monétisation post-exploitation courantes telles que les attaques par déni de service distribué (DDoS), le détournement de proxy ou le minage de cryptomonnaies. Les systèmes compromis restent en grande partie inactifs, tout en conservant un accès permanent. Cette approche opérationnelle discrète suggère des cas d'utilisation potentiels comme la préparation de projets, le maintien d'accès ou de futures opérations coordonnées.
Furtivité, persistance et anti-forensique
La furtivité opérationnelle est une caractéristique essentielle de SSHStalker. Ce logiciel malveillant utilise des utilitaires de nettoyage de journaux qui manipulent les enregistrements utmp, wtmp et lastlog afin de dissimuler les accès SSH non autorisés. Des programmes C personnalisés sont exécutés pour effacer toute trace d'activité malveillante des journaux système, réduisant ainsi la visibilité lors des analyses forensiques.
Pour garantir la résilience, la boîte à outils intègre un mécanisme de maintien en vie conçu pour relancer le processus principal du logiciel malveillant dans les 60 secondes suivant son arrêt. Cette stratégie de persistance renforce la durabilité de l'implantation dans les environnements compromis.
Infrastructure de déploiement et arsenal d’outils offensifs
L'analyse de l'infrastructure de préparation associée a révélé un vaste répertoire d'outils offensifs et de logiciels malveillants déjà répertoriés. Cet arsenal comprend :
- Rootkits conçus pour améliorer la furtivité et assurer la persistance
- Mineurs de cryptomonnaies
- Un script Python qui exécute un fichier binaire nommé « website grabber » pour récupérer les identifiants Amazon Web Services (AWS) exposés sur des sites web vulnérables.
- EnergyMech, un bot IRC permettant le contrôle et l'exécution de commandes à distance
Cette collection met en lumière un cadre opérationnel flexible capable de s'adapter à de multiples objectifs d'attaque.
Indices d’attribution et chevauchement opérationnel
Des indices présents dans les canaux IRC et les listes de mots de configuration suggèrent une possible origine roumaine, notamment la présence de pseudonymes et d'argot typiquement roumains. De plus, leurs caractéristiques opérationnelles présentent des similitudes importantes avec celles du groupe de hackers connu sous le nom d'Outlaw (également appelé Dota), ce qui indique une affiliation potentielle ou des méthodes de travail communes.
Orchestration mature d’une exploitation novatrice
SSHStalker ne repose ni sur des vulnérabilités zero-day ni sur le développement de rootkits révolutionnaires. Au contraire, la campagne témoigne d'un contrôle opérationnel rigoureux et d'une orchestration efficace. Le bot principal et ses composants de bas niveau sont principalement écrits en C, tandis que des scripts shell gèrent la persistance et l'automatisation. Python et Perl sont utilisés de manière sélective pour les fonctions utilitaires et les tâches de support au sein de la chaîne d'infection.
Cette campagne illustre un processus de compromis massif structuré et évolutif, privilégiant le recyclage de l'infrastructure, l'automatisation et la persistance à long terme dans divers environnements Linux. Sa force réside davantage dans son exécution, sa coordination et l'exploitation stratégique de systèmes négligés que dans l'innovation.
