Дослідники компанії Flare повідомили про виявлення нового Linux-ботнету SSHStalker, який спеціалізується на зламі SSH-серверів і особливо активно полює на інстанси в Oracle Cloud та інших хмарних середовищах. Кампанія поєднує масовий брутфорс SSH, червеподібне поширення в мережі та експлуатацію застарілих, але досі використовуваних ядер Linux для підвищення привілеїв.
Ланцюг атаки SSHStalker: від SSH-брутфорсу до автоматичного розповсюдження
Початковий етап компрометації базується на масштабному скануванні відкритих SSH-портів і автоматизованому переборі облікових даних. Для цього зловмисники застосовують виконуваний файл на Go, замаскований під nmap. Імітація легітимного інструмента ускладнює виявлення як адміністраторами, так і системами моніторингу, що орієнтуються на пошук нетипових процесів.
Після успішного підбору пароля скомпрометований сервер негайно підключається до подальшого сканування Інтернету. Аналітики виявили файл із результатами близько 7000 SSH‑сканувань лише за січень 2026 року, що вказує на червеподібну модель: кожен заражений хост самостійно шукає нові цілі, підсилюючи загальну потужність ботнету.
Експлуатація застарілих уразливостей ядра Linux для підвищення привілеїв
Якщо зловмисникам вдається отримати доступ лише до звичайного користувача, SSHStalker переходить до етапу локального підвищення привілеїв. Для цього використовується набір експлойтів проти щонайменше 16 уразливостей ядра Linux, що стосуються версій орієнтовно 2009–2010 років. Мета — отримати доступ рівня root, що дає повний контроль над системою та можливість приховувати шкідливу активність.
Хоча ці вразливості вважаються «старими», вони досі зустрічаються у виробничих та тестових середовищах: на погано адміністрованих серверах, внутрішніх вузлах і «забутих» віртуальних машинах. Такі системи часто стають плацдармом для подальшого руху атакувальників до більш критичних ресурсів. Публічні галузеві звіти з безпеки регулярно фіксують інциденти, пов’язані з експлуатацією саме застарілих компонентів ПЗ.
Архітектура ботнету SSHStalker та шкідливі навантаження
Важлива особливість SSHStalker — те, що після зараження хост завантажує компілятор GCC і збирає шкідливі бінарні файли безпосередньо на машині жертви. Це суттєво ускладнює сигнатурне виявлення: кожен екземпляр може мати власний набір артефактів, а наявність компілятора в продакшен-середовищі зазвичай не відстежується так само ретельно, як служби, що «дивляться в Інтернет».
Першими інсталюються IRC-боти на C із жорстко прописаними адресами командно-контрольної інфраструктури та каналами. Через них нові вузли підключаються до ботнету. Далі SSHStalker завантажує архіви з назвами GS і bootbou, що містять різні модулі для керування послідовністю команд і сценаріями виконання на захоплених системах.
Закріплення в системі реалізовано через cron-завдання з інтервалом у 60 секунд. Така задача перевіряє, чи працює основний процес бота, і в разі зупинки перезапускає його. Подібний «сторожовий таймер» допомагає переживати перезапуски сервісів і часткові спроби очищення системи.
Цілі атак SSHStalker та способи монетизації ботнету
За спостереженнями Flare, оператори SSHStalker концентруються на хмарних серверах, зокрема на інстансах в Oracle Cloud. Хмарна інфраструктура приваблива високою продуктивністю, широкими мережевими каналами та м’якшим контролем вихідного трафіку, що робить такі вузли зручним ресурсом для подальших атак.
Монетизація ботнету реалізується через кілька векторів. По-перше, здійснюється збір ключів AWS із скомпрометованих систем, що може призводити до компрометації додаткових хмарних ресурсів. По-друге, використовуються модулі для сканування веб-сайтів і розгортання інструментів криптомайнінгу. Серед виявлених компонентів — високопродуктивний майнер Ethereum PhoenixMiner, який максимально навантажує процесори та GPU захоплених серверів.
Крім того, в коді SSHStalker присутні можливості організації DDoS-атак. На момент дослідження ці функції не активувалися: боти лише підключалися до командно-контрольного сервера й перебували в режимі очікування. Це може свідчити про тестову фазу інфраструктури або підготовку до масштабніших кібератак.
Ознаки компрометації та рекомендації із захисту Linux- і хмарних серверів
Для виявлення SSHStalker та подібних Linux-ботнетів варто посилити моніторинг таких індикаторів:
- Неочікувана інсталяція компіляторів (GCC та інших) на продакшен-серверах, де вони зазвичай не потрібні;
- Підозрілі вихідні з’єднання до IRC-подібних сервісів на нестандартні порти чи домени з низькою репутацією;
- cron-завдання з інтервалами близько хвилини, які запускаються з нетипових директорій (тимчасові чи користувацькі каталоги);
- виконання бінарних файлів із областей на кшталт /dev/shm або інших «тимчасових» точок монтування.
Як превентивні заходи фахівці рекомендують повністю відмовитися від парольної аутентифікації SSH на користь ключів, видалити компілятори з образів продакшен-систем, жорстко фільтрувати вихідний трафік і забороняти виконання файлів у тимчасових директоріях. Критично важливо також позбутися застарілих версій ядра Linux, особливо на вузлах, що доступні з Інтернету по SSH.
SSHStalker наочно демонструє, що поєднання слабких SSH-паролів, відсутності контролю вихідного трафіку та старих уразливостей ядра й досі залишається ефективним інструментом атак. Регулярні аудити конфігурацій, оновлення ядра, перехід на ключову аутентифікацію, мінімізація встановленого ПЗ на серверах і уважний моніторинг аномалій — практичні кроки, які суттєво знижують ризик того, що ваші Linux- або хмарні ресурси стануть частиною наступного ботнету.
