קבוצת האקרים לא מוכרת מצליחה לאלץ שרתי SSH של לינוקס להתקין מגוון רחב של נוזקות כולל הבוט Tsunami DDoS (מניעת שירות מבוזרת), ShellBot, מחקי יומנים, כלים להסלמה של הרשאות וכורה מטבעות XMRig (Monero).
SSH (Secure Socket Shell) הינו פרוטוקול תקשורת רשת מוצפן לכניסה למכונות מרוחקות, תמיכה במנהור, העברת יציאות TCP, העברת קבצים וכו'. מנהלי רשת משתמשים בדרך כלל ב- SSH לניהול מכונות לינוקס מרחוק, ביצוע משימות כגון הפעלת פקודות, שינוי תצורה, עדכון תוכנה ופתרון בעיות. עם זאת, במידה והשרתים הללו אינם מאובטחים, הם עלולים להיות פגיעים למתקפות Brute Force, מה שמאפשר להאקרים לנסות שילובים פוטנציאליים רבים של שם משתמש וסיסמה עד שנמצאת התאמה.
AhnLab Security Emergency Response Center (ASEC) גילו לאחרונה מתקפת סייבר מסוג זה אשר בעטייה נפרצו שרתי לינוקס כדי להפעיל מתקפות DDoS ולכרות מטבעות קריפטוגרפיים של Monero. ההאקרים סרקו את האינטרנט לאיתור שרתי לינוקס SSH חשופים ולאחר מכן אולצו צמדי שם משתמש וסיסמה במתקפת Brute Force כדי לחדור לשרת. ברגע שהם ביססו דריסת רגל בנקודת הקצה כמשתמש אדמין, הם הריצו פקודה כדי לטעון ולהפעיל אוסף נוזקות באמצעות סקריפט Bash. חברת ASEC הבחינה כי ההאקרים גם יצרו זוג חדש של מפתחות SSH ציבוריים ופרטיים עבור השרת הפרוץ כדי לשמר את הגישה גם אם סיסמת המשתמש השתנתה.
הנוזקה שהורדה לשרתים שנפגעו כוללת רשתות בוטים DDoS, מחקי יומנים, כורי מטבעות קריפטוגרפיים וכלים להסלמה של הרשאות. הנוזקה הנוספת של DDoS botnet שנראתה במתקפות אלו היא Tsunami, אשר משתמשת גם בפרוטוקול IRC לתקשורת. הגרסה המסוימת שנראתה על ידי ASEC היא "זיגי", גרסת קייטן. מלבד SYN, ACK, UDP ומתקפות DDoS אקראיות, Tsunami תומך גם במערך נרחב של פקודות שלט רחוק, כולל ביצוע פקודות מעטפת, איסוף מידע מערכת, עדכון עצמי והורדת נוזקות נוספות ממקור חיצוני.
כדי להתגונן מפני מתקפות אלו, על משתמשי לינוקס להשתמש בסיסמאות חזקות לחשבון או, למען אבטחה טובה יותר, לדרוש מפתחות SSH כדי להיכנס לשרת SSH. בנוסף, יש להשבית את התחברות השורש דרך SSH, להגביל את טווח כתובות ה- IP להן מותר לגשת לשרת ולשנות את יציאת ברירת המחדל של SSH למשהו לא טיפוסי שבוטים אוטומטיים וסקריפטי זיהום יחמיצו.