Selon des chercheurs, un botnet cible particulièrement les serveurs Linux dont l’authentification SSH est faible. Par force brute, il a réussi à compromettre 7000 machines.

Baptisé SSHStalker par des experts de Flare Systems (société canadienne de cybersécurité), le botnet enrôle des serveurs Linux en cassant leur authentification SSH trop faible. La campagne a réussi à compromettre 7000 serveurs dont la moitié sont situés aux Etats-Unis. Pour cela, le botnet a notamment utilisé des exploits ciblant des vulnérabilités Linux non corrigées datant de 2009. Il dispose d’un « kit de botnet assemblé » qui exécute des malwares, des rootkits, des nettoyeurs de journaux et un large éventail d’exploits sur le kernel. Entre autres choses, il récolte les identifiants AWS. Les chercheurs expliquent que SSHStalker a mené « une opération à grande échelle qui privilégie la fiabilité à la discrétion ». Cependant, jusqu’à présent, le botnet n’a pas fait grand-chose d’autre que de maintenir sa persistance sur les machines infectées. Il a la capacité de lancer des attaques DDoS (déni de service distribué) et de mener des activités de crypto-minage, mais il n’a encore rien fait pour monétiser son accès. L’entreprise de cybersécurité pense que l’opérateur est soit en train de mettre en place l’infrastructure du botnet, soit en phase de test, soit en train de maintenir l’accès pour une utilisation future.