Исследователи обнаружили новую Linux-ботсеть SSHStalker
3 мин
20
В Linux-ботсети SSHStalker используют IRC-боты образца 2009 года с современной автоматизацией взломов. Чтобы обнаружить её, компания Flare использовала SSH-ловушку, которая фиксировала атаки в течение двух месяцев. Информации о ботсети в публичных источниках не было.
Ботсеть работает на IRC с ботами на C, ботом на Perl, вредоносами Tsunami и Keiten. Атака строится цепочкой через SSH-сканер на Golang, установку GCC, компиляцию и регистрацию в IRC. Каждую минуту срабатывает cron, который проверяет процесс и перезапускает его. В комплекте имеются очистители логов utmp, wtmp, lastlog и руткиты. Злоумышленник использует архив эксплойтов для Linux 2.6.x периода 2009–2010 годов, которые работают против старых серверов.
Структура используемых файлов напоминает румынские ботсети Outlaw и Maxlas, но прямых доказательств их взаимосвязи нет. Ловушку развернули в начале 2026 года со слабыми паролями. Ботсеть не запускала DDoS и не майнила криптовалюту, только поддерживала доступ к системам.
Атака начинается с файла nmap, который представляет собой сканер на Golang для поиска открытых SSH на порту 22. После этого загружается GCC и два C-файла компилируются и запускаются. Один подключается к gsm.ftp.sh, другой — к plm.ftp.sh с поддержкой ARM, x86, MIPS. Затем загружается архив GS с семью файлами. Файл go запускает всё по очереди, файл distro подстраивается под CentOS, Ubuntu, RedHat и устанавливает сервис через systemctl или chkconfig.
Файл ping.c повышает привилегии через setuid, а Perl-бот подключается к UnrealIRCd и маскируется под bash. Файлы clean.c и cls.c удаляют записи из логов. Архив bootbou.tgz содержит восемь файлов. Скрипт update проверяет процесс и перезапускает при необходимости, генерируется конфигурация с серверами и рандомными названиями. В словаре используются румынские сленг и имена. После этого запускается autorun с маскировкой под crond и работой из /dev/shm.
На промежуточном сервере обнаружено 77 файлов IRC-ботсети. Файл содержит 7 тысяч результатов сканирования за январь 2026 года с преобладанием облачных провайдеров, особенно Oracle Cloud. В наборе находится 81 эксплойт на 16 уязвимостей CVE, включая CVE-2009-2692, CVE-2009-2698, CVE-2010-3849 для Linux до версии 2.6.37. Целевые ядра включают версии 2.6.18, 2.6.31, 2.6.37.
Исследователи нашли пять руткитов и связку crypto runner с руткитом. В 2026 году эти эксплойты работают против 1–3% серверов в интернете и против 5–10% в старых окружениях. Обнаружен набор для поиска секретов на сайтах с Python-скриптом. Сканер работает с 34 тысячами путей файлов и ищет ключи AWS с поддержкой прокси и DNS через HTTPS.
В наборе присутствует бот EnergyMech IRC с текстовыми банками для генерации человекоподобного шума в каналах. Найдено несколько наборов для майнинга криптовалюты с Ethereum-кошельком. IP пула помечен VirusTotal как вредоносный с румынской связью. Обнаружены PhoenixMiner с руткитом prochider и Linux.Cryptominer.Camelot.
Подключение к IRC-серверу показало только подключения и отключения. SSHStalker использует C для ботов и shell для управления. Румынские артефакты встречаются только в этой операции. Операция похожа на Outlaw и Maxlas, но прямых упоминаний исследователи не нашли.
