Pesquisadores em segurança digital estão alertando para uma nova categoria de ataques contra servidores Linux, usando malwares de múltiplas capacidades que parecem ter empresas asiáticas como alvos iniciais. A praga RedXOR, como foi batizada, ainda estaria conectada a grupos com ligações ao governo chinês, o que indica que os principais focos de tentativas de comprometimento, também, devem estar no rol de interesses do país.
Os detalhes sobre a ameaça foram publicados pelos especialistas em segurança da Intezer, que já fizeram o upload de amostrar ao VirusTotal para que seja possível trabalhar em uma mitigação. A partir disso, pelo menos duas grandes companhias, do Taiwan e Indonésia, teriam localizado o malware em seus sistemas, com a divulgação mais ampla dos ataques servindo como alerta e, possivelmente, levando a mais descobertas desse tipo.
Segundo os pesquisadores, as amostrar do malware foram encontradas na plataforma de Linux corporativa da Red Hat e tem diferentes capacidades, controladas a partir de servidores sob o controle dos criminosos. À distância, eles seriam capazes de executar comandos e escalar privilégios no sistema, manipular arquivos, redirecionar tráfego e até aplicar atualizações comprometidas, enquanto a própria presença no sistema é ofuscada pela criação de pastas ocultas, scripts e instalação de binários.
O próprio uso de um servidor de comando e controle seria criptografado e protegido por senha, o que demonstra uma operação que não deseja ser descoberta. Uma vez que o malware está conectado e autenticado, porém, ele fica à disposição dos atacantes para a realização do que os especialistas acreditam serem ataques direcionados, com diferentes ações sendo executadas de acordo com as necessidades de explorações específicas.
Os analistas da Intezer fizeram a associação do RedXOR com a ofensiva bélica digital do governo chinês devido às similaridades entre o novo malware e outros que são de autoria do Winnti. O termo se refere a um conjunto de grupos de atacantes com conexões ao país, já tendo sido responsáveis por ataques à Microsoft, FireEye, Symantec e outras grandes companhias ocidentais. Os fins políticos, de espionagem e financiamento levaram a golpes que vêm acontecendo contra corporações desde, pelo menos, 2011.
Apesar de já terem identificado o malware, os especialistas ainda não conhecem exatamente o vetor inicial deste ataque, mas apostam em mecanismos comuns de golpes contra servidores Linux, como o uso de vulmerabilidades ainda não corrigidas, credenciais comprometidas que permitem acesso ao sistema ou erros de configuração. Segundo a Intezer, o malware também seria capaz de se movimentar lateralmente entre sistemas, o que aumenta a superfície de ataque dentro de uma própria corporação e pode permitir que a praga se espalhe além da contaminação inicial.
Aos administradores de rede, os especialistas sugerem atenção aos indicadores de comprometimento e, também, às pastas citadas, que ocultam os arquivos e sistemas do malware. Além disso, a Red Hat também publicou, a seus clientes, um guia com mais detalhes sobre o RedXOR e maneiras de localizar o malware ou evitar comprometimento por ele.