محققان امنیتی بدافزار جدیدی با نام GoScanSSH را شناسایی کردند که سرورهای عمومی SSH را هدف قرار داده است ولی در عملیات خود از آلوده کرن سیستم های نظامی و حکومتی اجتناب می کند. این بدافزار اولین بار در ژوئن سال ۲۰۱۷ میلادی شناسایی شده و برخی ویژگی های منحصربفرد دارد. به طور مثال این بدافزار با زبان برنامه نویسی GO نوشته شده و از هدف قرار دادن بخش های نظامی اجتناب می کند.
بردار آلودگی مربوط به بدافزار GoScanSSH حملات جستجوی فراگیر است که سرورهای SSH عمومی را هدف قرار میدهد. در این سرورها احراز هویت مبتنی بر پسورد است. وقتی مهاجم متوجه شود که IP مورد نظر هدف مهمی است، گواهینامههای SSH آن را برای احراز هویت بدست میآورد. مهاجمان برای اجرای حمله از یک فایل ورد، حاوی ترکیبی از ۷ هزار نام کاربری و پسورد استفاده میکنند.
براساس مشاهدهی نام کاربری و پسورد در فایل ورد و ترکیب آنها، محققان متوجه شدند که مهاجمان سرورهای SSH عمومی مبتنی بر لینوکس را که در آنها از پسوردهای ضعیف یا پیشفرض استفاده شده است، هدف قرار دادهاند. مشاهدات نشان میدهد که دستگاههای OpenELEC، رسپبری پای و دستگاههای آیفون که جیلبریک شدهاند در صدر اهداف این بدافزار قرار دارند.
محققان اعلام کردند که ۷۰ نمونهی منحصربفرد از بدافزار GoScanSSH را شناسایی کردهاند. در هر نمونه از بدافزار، از باینری کامپایلشدهی خاصی استفاده شده تا از بسترهای مختلف پشتیبانی کند. همچنین مشاهده شده که نسخههای مختلفی از این بدافزار در دنیای واقعی فعال است که نشان میدهد مهاجمان بهطور پیوسته برای بهبود و توسعهی این بدافزار تلاش میکنند.
در آلودگیهای قبلی، گزارش شده که مهاجمان در وهلهی اول در بازههای زمانی مختلف با انجام محاسبات درهمسازی، تلاش میکنند تا از قدرت پردازشی سرور مطلع شوند. محققان تاکنون متوجه نشدهاند که دلیل ارزیابی توان در سرورها توسط مهاجمان چیست. معمولا در حملاتی که هدف استخراج ارز دیجیتال است، قدرت سیستم ارزیابی میشود ولی دستگاههایی که نام بردیم، توان پردازشی بالایی نداشته و برای این هدف مناسب نیستند.
دادههای انتقالی بین دستگاه قربانی با سرور دستور و کنترل مهاجم، با استفاده از سرویس پروکسی Tor2Web ارسال میشود. این سرویس به دستگاهها اجازه میدهد بودن نصب کلاینت TOR بتوانند دادههای خود را تحت شبکهی گمنامی TOR ارسال کنند. محققان اعلام کردند قابلیت اصلی در بدافزار GoScanSSH، شناسایی دیگر سرورهای SSH آسیبپذیر است.