Эксперты Akamai обнаружили, что финансово мотивированные преступники активно атакуют уязвимые SSH-серверы, чтобы незаметно превратить их в прокси-сеть, которую затем сдают в аренду другим преступникам.
Такие атаки носят название проксиджекинг (proxyjacking), по аналогии с криптоджекингом (cryptojacking), когда хакеры воруют ресурсы взломанных систем для добычи криптовалюты. Однако проксиджекинг труднее обнаружить, потому как он «ворует» только неиспользуемую полосу пропускания и не влияет на общую стабильность и использование системы.
«Это активная кампания, в которой злоумышленники используют SSH для удаленного доступа, запуская вредоносные скрипты, которые незаметно подключают серверы жертв к P2P прокси-сети, подобной Peer2Proxy или Honeygain, — рассказывают в Akamai. — Это позволяет злоумышленникам монетизировать дополнительную пропускную способность ничего не подозревающей жертвы, используя лишь часть ресурсов, которые потребовались бы для майнинга криптовалют, с меньшей вероятностью обнаружения».
Впервые Akamai обнаружила эти атаки 8 июня 2023 года, после того хакеры установили несколько SSH-подключений к ханипотами, управляемым группой Security Intelligence Response Team (SIRT).
Подключившись к одному из уязвимых SSH-серверов, хакеры развернули Bash-скрипт в Base64, который добавлял взломанные системы в Honeygain или Peer2Profit. Также скрипт устанавливает контейнер, загружая образы Peer2Profit или Honeygain Docker и ликвидируя контейнеры конкурентов, если таковые найдутся.
Кроме того, исследователи обнаружили на скомпрометированном сервере майнеры, используемые для криптоджекинга, эксплоиты и хакерские инструменты, который применялись для хранения вредоносного скрипта. То есть, похоже, злоумышленники либо полностью переключились на проксиджекинг, либо использовали его для получения дополнительного пассивного дохода.
«Проксиджекинг стал для киберпреступников новейшим способом зарабатывания денег на скомпрометированных устройствах как в корпоративной, так и в потребительской экосистемах, — резюмируют эксперты. — Это более незаметная альтернатива криптоджекингу, имеющая серьезные последствия и способная лишь усилить проблемы, уже создаваемые прокси-атаками Layer 7».