Phalanx2: klucze SSH zagrożeniem dla linuksowych serwerów

Amerykański Computer Emergency Readiness Team (CERT) ostrzegaprzed nową falą zagrożeń, na które podatne są serwery pracujące podkontrolą systemów operacyjnych z rodziny Linux, a których kluczeSSH zostały w jakiś sposób ujawnione. Do ataku wykorzystywane są skradzione klucze SSH w celu przejęciakontroli nad komputerem i zdobycia dostępu do konta roota zapośrednictwem luk w jądrze systemowym. Następnie na maszynieinstalowany jest szkodnik znany jako Phalanx2, którego głównymzadaniem jest pozyskiwanie nowych kluczy SSH, wykorzystywanychpodczas kolejnych ataków. W momencie odnalezienia serwera,korzystającego ze skradzionego klucza, cyberprzestępca posiadamożliwość kradzieży kolejnych, silniejszych kluczy i nawiązaniapołączenia z innymi serwerami. Phalanx2 jest pochodną rootkita Phalanx, który stworzony został dlaLinuksa 2.6, umożliwiając ukrywanie w systemie plików, gniazd iprocesów, oraz tzw. sniffing. Wersja oznaczona jako druga, zostałazaktualizowana do kradzieży kluczy SSH. Pomimo poważnychkonsekwencji, jakie niesie ze sobą wspomniany szkodnik, jest onstosunkowo prosty do wykrycia. Wszystkie pliki używane podczasataków znajdują się w katalogu /dev/shm.