Исследователи компании Flare выявили новый Linux-ботнет SSHStalker, ориентированный прежде всего на облачную инфраструктуру, включая инстансы в Oracle Cloud. Особую опасность он представляет тем, что сочетает в себе агрессивный брутфорс SSH, автоматическое распространение по сети и использование старых, но до сих пор встречающихся уязвимостей ядра Linux для повышения привилегий.
Механизм атаки SSHStalker: от брутфорса SSH до червеподобного распространения
Начальная стадия компрометации в SSHStalker основана на массовом сканировании SSH и автоматизированном переборе учетных данных (brute force). Для этого злоумышленники используют бинарный файл на Go, который маскируется под популярный сканер nmap. Это позволяет снизить подозрения администраторов и средств мониторинга, ориентированных на выявление нетипичных процессов.
После успешного подбора пароля зараженный сервер немедленно включается в процесс дальнейшего поиска целей. Аналитики обнаружили файл с результатами почти 7000 SSH-сканирований, выполненных только за январь 2026 года, что говорит о червеподобной модели распространения: каждая скомпрометированная система сама активно участвует в атаке на новые хосты.
Эксплойты старых ядер Linux для повышения привилегий
Получив доступ к учетной записи с ограниченными правами, SSHStalker использует набор эксплойтов для 16 уязвимостей ядра Linux, затрагивающих версии примерно 2009–2010 годов. Цель этих атак — повышение привилегий до уровня root, что открывает злоумышленникам полный контроль над системой, в том числе возможность скрывать присутствие малвари и разворачивать дополнительные компоненты.
Несмотря на возраст уязвимостей, в реальных инфраструктурах до сих пор встречаются устаревшие ядра, особенно на плохо обслуживаемых серверах, внутренних системах и забытых тестовых окружениях, которые затем становятся плацдармом для атаки на более критичные ресурсы.
Архитектура ботнета и полезные нагрузки SSHStalker
Ключевая особенность SSHStalker заключается в том, что после заражения хост подгружает компилятор GCC и собирает вредоносные бинарники прямо на машине жертвы. Такой подход усложняет сигнатурное обнаружение: двоичные файлы могут отличаться от экземпляра к экземпляру, а наличие компилятора на продакшен-серверах часто остается вне поля зрения администраторов.
Первыми полезными нагрузками внедряются IRC-боты на C с жестко прописанными адресами управляющих серверов и каналами. Через них новые жертвы подключаются к инфраструктуре управления ботнетом. Далее SSHStalker загружает архивы под названиями GS и bootbou с различными вариантами ботов, отвечающих за оркестрацию команд и последовательность их выполнения на захваченных узлах.
Закрепление в системе реализовано через cron: каждые 60 секунд запускается задача, проверяющая, жив ли основной процесс бота, и при необходимости перезапускающая его. Такой «сторожевой таймер» позволяет ботнету переживать перезагрузки процессов и попытки частичной очистки системы.
Цели атак и монетизация ботнета SSHStalker
По наблюдениям Flare, основное внимание операторы SSHStalker уделяют облачным серверам, в первую очередь инстансам в Oracle Cloud. Облачные окружения привлекательны высокой производительностью, хорошими сетевыми каналами и часто менее строгим контролем исходящего трафика, что делает их удобной платформой для дальнейших атак.
Для монетизации ботнет реализует несколько сценариев: сбор ключей AWS с скомпрометированных систем, сканирование веб-сайтов и разворачивание инструментов для майнинга криптовалют. Среди обнаруженных компонентов — высокопроизводительный Ethereum-майнер PhoenixMiner, что указывает на стремление злоумышленников максимально использовать вычислительные ресурсы захваченных серверов.
Дополнительно в коде SSHStalker присутствуют возможности организации DDoS-атак с использованием мощностей ботнета. Однако на момент исследования эти функции не применялись: боты подключались к управляющему серверу и находились в режиме ожидания. Это может свидетельствовать о фазе тестирования инфраструктуры или о подготовке к последующим, более масштабным операциям.
Признаки компрометации и рекомендации по защите Linux-серверов
Для выявления активности SSHStalker и схожих ботнетов на Linux-серверах и в облачных средах стоит усилить мониторинг следующих аномалий:
- Установка и запуск компиляторов (GCC и других) на продакшен-серверах, где они обычно не требуются;
- Необычные исходящие соединения к IRC-подобной инфраструктуре, особенно на нестандартные порты и домены с низкой репутацией;
- cron-задачи с очень коротким интервалом (около минуты), запускающиеся из нетипичных директорий во временных или пользовательских областях.
В качестве превентивных мер эксперты рекомендуют: отключить парольную аутентификацию SSH в пользу ключей, удалить компиляторы из производственных образов, настроить строгую фильтрацию исходящего трафика и запретить выполнение файлов из каталогов вроде /dev/shm. Дополнительно критично пересмотреть использование устаревших версий ядра Linux, особенно в окружениях, доступных по SSH из интернета.
Распространение SSHStalker демонстрирует, что даже «старые» уязвимости и базовые ошибки конфигурации, вроде слабых SSH-паролей, остаются эффективным инструментом атак. Регулярные аудиты, обновление ядра, отказ от паролей в пользу ключей и внимательный мониторинг аномалий на серверах — практические шаги, которые сегодня позволяют существенно снизить риск стать частью очередного Linux-ботнета.
