Дешёвый Linux — дорогое удовольствие. Новый ботнет захватывает сервера через SSH
NewsMakerHoneypot-ловушки раскрыли новую схему превращения серверов в цифровых рабов.
Хакеры начали активно атаковать уязвимые Linux-серверы с открытым SSH-доступом, чтобы установить вредоносное программное обеспечение SVF Botnet — простую, но эффективную систему для проведения DDoS-атак и майнинга криптовалют. Об этом сообщает аналитический центр AhnLab Security Intelligence Center (ASEC), который отслеживает подобные угрозы с помощью специально настроенных honeypot-серверов .
Одним из недавних случаев стала атака на один из таких honeypot-серверов. Злоумышленники подобрали слабые логины и пароли через методику перебора и, получив доступ по SSH , немедленно загрузили ботнет-программу . Основу этой вредоносной системы составляет Python-скрипт, связанный с неформальной группировкой, именующей себя «SVF Team».
Интересной особенностью является то, что в качестве канала управления и связи используется мессенджер Discord, который часто используется детьми и подростками для совместных разговоров во время игры. Через него бот получает команды, а также отправляет информацию о заражённой системе.
Процесс установки SVF Botnet построен вокруг развёртывания виртуального окружения, в которое устанавливаются ключевые зависимости: библиотеки discord.py, requests, aiohttp и lxml. Затем с сервиса termbin скачивается основной файл main.py, после чего бот запускается с указанием определённой группы, например параметром «-s 5». Это позволяет управлять сразу несколькими заражёнными машинами в рамках одной команды.
После запуска бот авторизуется через токен Discord и связывается с управляющим каналом, откуда получает приказы. Он также передаёт информацию о себе, в том числе принадлежность к конкретной группе, через webhook. Такой подход позволяет операторам ботнета выстраивать гибкую архитектуру командования, разделяя свои ресурсы по функциональным сегментам.
Функциональность SVF сосредоточена на двух типах атак: HTTP-флуд (уровень L7) и UDP-флуд (уровень L4). При этом ботнет поддерживает широкую кастомизацию: можно задавать количество потоков, интенсивность пакетов и уровень параллельности атак. Однако наиболее примечательной особенностью SVF является встроенная система проксификации: бот сам извлекает списки открытых прокси-серверов с GitHub и других сайтов, проверяет их работоспособность путём попытки авторизации на Google, и при атаках использует случайный прокси из своей базы. Это затрудняет отслеживание источника трафика и помогает обходить защитные механизмы.
Некоторые команды в арсенале ботнета ($load, $customhttp, $customudp) позволяют расширять функциональность, включая загрузку новых прокси, проведение кастомизированных атак и остановку активных действий. Также предусмотрены функции перезапуска бота, обработки сбоев и загрузки новых версий с определённого IP-адреса, что указывает на постепенное развитие инструмента и возможное усложнение его архитектуры в будущем.
Наблюдение за этим инцидентом подчёркивает, насколько уязвимыми остаются Linux-серверы с плохо защищённым SSH-доступом. Как только злоумышленники получают контроль над системой, она становится частью ботнета, использующего её ресурсы для атак или добычи криптовалют. Чтобы предотвратить подобные сценарии, системным администраторам рекомендуется усиливать аутентификацию — использовать длинные, уникальные пароли, регулярно их менять, устанавливать последние обновления и ограничивать доступ к SSH через файервол.
Кроме того, большое значение приобретает своевременное обновление антивирусных решений для оперативного обнаружения новых угроз. В условиях, когда злоумышленники всё чаще используют инструменты с открытым исходным кодом и применяют популярные легитимные сервисы для маскировки, развёртывание honeypot-инфраструктуры и мониторинг активности остаются ключевыми методами сбора информации и повышения устойчивости к кибератакам.
Хакеры начали активно атаковать уязвимые Linux-серверы с открытым SSH-доступом, чтобы установить вредоносное программное обеспечение SVF Botnet — простую, но эффективную систему для проведения DDoS-атак и майнинга криптовалют. Об этом сообщает аналитический центр AhnLab Security Intelligence Center (ASEC), который отслеживает подобные угрозы с помощью специально настроенных honeypot-серверов .
Одним из недавних случаев стала атака на один из таких honeypot-серверов. Злоумышленники подобрали слабые логины и пароли через методику перебора и, получив доступ по SSH , немедленно загрузили ботнет-программу . Основу этой вредоносной системы составляет Python-скрипт, связанный с неформальной группировкой, именующей себя «SVF Team».
Интересной особенностью является то, что в качестве канала управления и связи используется мессенджер Discord, который часто используется детьми и подростками для совместных разговоров во время игры. Через него бот получает команды, а также отправляет информацию о заражённой системе.
Процесс установки SVF Botnet построен вокруг развёртывания виртуального окружения, в которое устанавливаются ключевые зависимости: библиотеки discord.py, requests, aiohttp и lxml. Затем с сервиса termbin скачивается основной файл main.py, после чего бот запускается с указанием определённой группы, например параметром «-s 5». Это позволяет управлять сразу несколькими заражёнными машинами в рамках одной команды.
После запуска бот авторизуется через токен Discord и связывается с управляющим каналом, откуда получает приказы. Он также передаёт информацию о себе, в том числе принадлежность к конкретной группе, через webhook. Такой подход позволяет операторам ботнета выстраивать гибкую архитектуру командования, разделяя свои ресурсы по функциональным сегментам.
Функциональность SVF сосредоточена на двух типах атак: HTTP-флуд (уровень L7) и UDP-флуд (уровень L4). При этом ботнет поддерживает широкую кастомизацию: можно задавать количество потоков, интенсивность пакетов и уровень параллельности атак. Однако наиболее примечательной особенностью SVF является встроенная система проксификации: бот сам извлекает списки открытых прокси-серверов с GitHub и других сайтов, проверяет их работоспособность путём попытки авторизации на Google, и при атаках использует случайный прокси из своей базы. Это затрудняет отслеживание источника трафика и помогает обходить защитные механизмы.
Некоторые команды в арсенале ботнета ($load, $customhttp, $customudp) позволяют расширять функциональность, включая загрузку новых прокси, проведение кастомизированных атак и остановку активных действий. Также предусмотрены функции перезапуска бота, обработки сбоев и загрузки новых версий с определённого IP-адреса, что указывает на постепенное развитие инструмента и возможное усложнение его архитектуры в будущем.
Наблюдение за этим инцидентом подчёркивает, насколько уязвимыми остаются Linux-серверы с плохо защищённым SSH-доступом. Как только злоумышленники получают контроль над системой, она становится частью ботнета, использующего её ресурсы для атак или добычи криптовалют. Чтобы предотвратить подобные сценарии, системным администраторам рекомендуется усиливать аутентификацию — использовать длинные, уникальные пароли, регулярно их менять, устанавливать последние обновления и ограничивать доступ к SSH через файервол.
Кроме того, большое значение приобретает своевременное обновление антивирусных решений для оперативного обнаружения новых угроз. В условиях, когда злоумышленники всё чаще используют инструменты с открытым исходным кодом и применяют популярные легитимные сервисы для маскировки, развёртывание honeypot-инфраструктуры и мониторинг активности остаются ключевыми методами сбора информации и повышения устойчивости к кибератакам.