Novo ataque contra servidores Linux pode ter apoio do governo chinês

Pesquisadores em segurança digital estão alertando para uma nova categoria de ataques contra servidores Linux, usando malwares de múltiplas capacidades que parecem ter empresas asiáticas como alvos iniciais. A praga RedXOR, como foi batizada, ainda estaria conectada a grupos com ligações ao governo chinês, o que indica que os principais focos de tentativas de comprometimento, também, devem estar no rol de interesses do país.

Os detalhes sobre a ameaça foram publicados pelos especialistas em segurança da Intezer, que já fizeram o upload de amostrar ao VirusTotal para que seja possível trabalhar em uma mitigação. A partir disso, pelo menos duas grandes companhias, do Taiwan e Indonésia, teriam localizado o malware em seus sistemas, com a divulgação mais ampla dos ataques servindo como alerta e, possivelmente, levando a mais descobertas desse tipo.

Segundo os pesquisadores, as amostrar do malware foram encontradas na plataforma de Linux corporativa da Red Hat e tem diferentes capacidades, controladas a partir de servidores sob o controle dos criminosos. À distância, eles seriam capazes de executar comandos e escalar privilégios no sistema, manipular arquivos, redirecionar tráfego e até aplicar atualizações comprometidas, enquanto a própria presença no sistema é ofuscada pela criação de pastas ocultas, scripts e instalação de binários.

O próprio uso de um servidor de comando e controle seria criptografado e protegido por senha, o que demonstra uma operação que não deseja ser descoberta. Uma vez que o malware está conectado e autenticado, porém, ele fica à disposição dos atacantes para a realização do que os especialistas acreditam serem ataques direcionados, com diferentes ações sendo executadas de acordo com as necessidades de explorações específicas.

Os analistas da Intezer fizeram a associação do RedXOR com a ofensiva bélica digital do governo chinês devido às similaridades entre o novo malware e outros que são de autoria do Winnti. O termo se refere a um conjunto de grupos de atacantes com conexões ao país, já tendo sido responsáveis por ataques à Microsoft, FireEye, Symantec e outras grandes companhias ocidentais. Os fins políticos, de espionagem e financiamento levaram a golpes que vêm acontecendo contra corporações desde, pelo menos, 2011.

Apesar de já terem identificado o malware, os especialistas ainda não conhecem exatamente o vetor inicial deste ataque, mas apostam em mecanismos comuns de golpes contra servidores Linux, como o uso de vulmerabilidades ainda não corrigidas, credenciais comprometidas que permitem acesso ao sistema ou erros de configuração. Segundo a Intezer, o malware também seria capaz de se movimentar lateralmente entre sistemas, o que aumenta a superfície de ataque dentro de uma própria corporação e pode permitir que a praga se espalhe além da contaminação inicial.

Aos administradores de rede, os especialistas sugerem atenção aos indicadores de comprometimento e, também, às pastas citadas, que ocultam os arquivos e sistemas do malware. Além disso, a Red Hat também publicou, a seus clientes, um guia com mais detalhes sobre o RedXOR e maneiras de localizar o malware ou evitar comprometimento por ele.