ESET, líder mundial en ciberseguridad y el mayor fabricante de software de seguridad de la Unión Europea, ha descubierto veintiuna familias, doce de ellas desconocidas hasta la fecha, de malware basado en OpenSSH que afectan a Linux. Las potentes herramientas maliciosas descubiertas por ESET son utilizadas ampliamente por cibercriminales que usan amenazas persistentes avanzadas (APT) que podrían tomar el control completo de los servidores Linux.
OpenSSH es la herramienta más utilizada por los administradores de sistemas Linux para gestionar servidores de Internet. Además, el hecho de que el 37% de los servidores expuestos de forma pública en Internet utilice el sistema operativo Linux, convierte a OpenSSH en un vector de ataque habitual cuando lo que se persigue es controlar de manera remota esos servidores.
La investigación llevada a cabo por ESET, y que incluyó el despliegue de honeypots o cibertrampas personalizadas para la clasificación de muestras y el análisis de varias familias de malware, proporcionó una visión del estado actual de las puertas traseras o backdoors OpenSSH. Además, se descubrieron algunos mecanismos interesantes utilizados por los delincuentes.
Por ejemplo, una de las familias de malware analizadas cuenta con diferentes modos para comunicarse con el servidor de mando y control (C&C), ya sea mediante la implementación de HTTP, o directamente en los TCP y DNS. Otras familias detectadas de malware son capaces de recibir comandos a través de las contraseñas de SSH o de incluir funcionalidades de minado de criptomonedas.