Ver SSH-Snake construit à partir d'un outil légitime open source

Un outil fraîchement open source pour la cartographie du réseau, connu sous le nom de SSH-Snake, a été réutilisé par des acteurs malveillants à des fins illicites. Les chercheurs de Sysdig ont révélé que SSH-Snake, identifié comme un ver auto-modifiable, exploite les informations d'identification SSH trouvées sur les systèmes compromis pour se propager à travers le réseau. Le ver analyse de manière autonome les emplacements d'informations d'identification connus et les fichiers historiques du shell pour déterminer ses prochaines actions.

Lancé sur GitHub début janvier 2024, SSH-Snake est caractérisé par son développeur comme un outil puissant de traversée automatique du réseau, utilisant les clés privées SSH découvertes sur les systèmes. Il crée une carte détaillée d'un réseau et de ses dépendances, aidant à évaluer la compromission potentielle d'un réseau via SSH et les clés privées SSH provenant d'un hôte spécifique. L'outil est également capable de résoudre des domaines avec plusieurs adresses IPv4.

SSH-Snake s'auto-réplique et récolte des données

Décrit comme entièrement auto-répliquant, auto-propagable et sans fichier, SSH-Snake se comporte comme un ver en se propageant d'un système à un autre. Sysdig a noté que le script shell facilite non seulement les mouvements latéraux, mais offre également plus de furtivité et de flexibilité par rapport aux vers SSH classiques.

Dans les attaques réelles, les acteurs malveillants déploient SSH-Snake pour récolter des informations d'identification, cibler des adresses IP et bash l'historique des commandes après avoir découvert un serveur de commande et de contrôle hébergeant les données. Ces attaques impliquent l'exploitation active des vulnérabilités de sécurité connues dans les instances Apache ActiveMQ et Atlassian Confluence pour obtenir un accès initial et déployer SSH-Snake.

Les chercheurs ont souligné que SSH-Snake tente d'exploiter la pratique recommandée consistant à utiliser des clés SSH, offrant ainsi aux acteurs malveillants un moyen plus intelligent et plus fiable d'étendre leur portée dans un réseau une fois qu'ils ont pris pied.

Interrogé sur SSH-Snake, Joshua Rogers, le développeur de l'outil, a affirmé que l'outil permet aux propriétaires légitimes de systèmes d'identifier les vulnérabilités de leur infrastructure avant les attaquants. Rogers a encouragé les entreprises à utiliser SSH-Snake pour découvrir les chemins d'attaque existants et y répondre de manière proactive. Il s'est opposé à la croyance commune selon laquelle le cyberterrorisme survient soudainement, plaidant en faveur d'une approche proactive de la conception et de la maintenance des systèmes, assortie de mesures de sécurité complètes.