Nytt DDoS-botnät riktar sig mot sårbara SSH-servrar

SophosLabs säkerhetsexperter har upptäckt ett nytt botnät som angriper dåligt skyddade SSH-servrar.

Botnätet Chalubo började cirkulera i augusti och är inriktat på att infiltrera den stora mängden Linux-servrar som använder SSH (Secure Shell) för fjärrövervakning. I många fall berör hotet därför det snabbt växande antalet IoT-enheter.

Chalubo skannar IP-adresser i syfte att hitta enheter som använder SSH på port 22 för att med hjälp av kända eller svaga lösenord överta kontrollen. Målet är att ladda ner och köra skadlig kod som möjliggör DDoS-attacker med hjälp av DNS, UDP och så kallade SYN floods.

– SSH-servrar har i många fall en undermålig säkerhet och är därför ett tacksamt mål för ett botnät som Chalubo. Det här är också en tydlig påminnelse om att det tas alldeles för lätt på vikten av starka lösenord. Som det är nu drar Chalubo nytta av att många använder förinstallerade eller väldigt enkla lösenord. Chalubo visar också att autentisering med en SSH-nyckel ofta är ett bättre alternativ än lösenord, i synnerhet svaga sådana, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

– Ett sätt att upptäcka Chalubo är att söka efter utgående C&C-trafik på port 8852, även om det inte alltid är den vägen botnätet tar. Ett annat sätt är att kontrollera historiken för misslyckade inloggningsförsök. Man kan också vara uppmärksam på om en server förbrukar ovanligt mycket bandbredd, avslutar Per Söderqvist.