Вредонос GoScanSSH избегает заражения правительственных и военных сетей

Эксперты Cisco Talos сообщили о вредоносной программе, получившей название GoScanSSH, этот зловред используется для компрометации серверов SSH, открытых для доступа из Сети. Злонамеренный код написан на языке программирования Go, что является не совсем обычной практикой.

Во вредоносе обнаружено несколько интересных функций, например, GoScanSSH старается не заражать правительственные и военные сети.

«Мы выявили новое семейство вредоносных программ, используемое для компрометации SSH-серверов. Мы назвали эту программу GoScanSSH», — пишут специалисты.

Злоумышленник создал уникальные бинарники для каждой зараженной системы. Как сообщает эксперты, командный центр использует прокси-сервер Tor2Web, благодаря чему гораздо сложнее отследить инфраструктуру C&C.

GoScanSSH совершала атаки типа брутфорс на общедоступные SSH-серверы. Киберпреступники использовали список, содержащий более 7 000 комбинаций имени пользователя и пароля. Если брутфорс-атака срабатывает, загружается уникальный вредоносный код, который выполняется на сервере.

В процессе сканирования уязвимых SSH-серверов GoScanSSH случайным образом генерирует IP-адреса, а затем сравнивает их со списком блоков CIDR в попытке избежать сканирования диапазонов, используемых различными правительственными и военными организациями. В частности, игнорируются диапазоны, принадлежащие Министерству обороны США.

Исследователи обнаружили более 70 уникальных образцов этой вредоносной программы.