Des chercheurs en cybersécurité ont découvert un module Go malveillant qui se présente comme un outil de force brute pour SSH mais qui contient en réalité des fonctionnalités permettant d’exfiltrer discrètement les informations d’identification de son créateur.

« Lors de la première connexion réussie, le package envoie l’adresse IP, le nom d’utilisateur et le mot de passe de la cible à un bot Telegram codé en dur contrôlé par l’acteur de la menace », a déclaré Kirill Boychenko, chercheur chez Socket .

Le paquet trompeur, nommé « golang-random-ip-ssh-bruteforce », a été lié à un compte GitHub appelé IllDieAnyway (G3TT), actuellement inaccessible. Il reste toutefois disponible sur pkg.go[.]dev. Il a été publié le 24 juin 2022.

La société de sécurité de la chaîne d’approvisionnement en logiciels a déclaré que le module Go fonctionne en analysant des adresses IPv4 aléatoires pour les services SSH exposés sur le port TCP 22, puis en tentant de forcer le service à l’aide d’une liste de noms d’utilisateur et de mots de passe intégrée et en exfiltrant les informations d’identification réussies vers l’attaquant.

Un aspect notable du malware est qu’il désactive délibérément la vérification de la clé d’hôte en définissant « ssh.InsecureIgnoreHostKey » comme HostKeyCallback, permettant ainsi au client SSH d’accepter les connexions de n’importe quel serveur quelle que soit son identité.

La liste de mots est assez simple, comprenant seulement deux noms d’utilisateur root et admin, et les associant à des mots de passe faibles comme root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein et Passw@rd.

Le code malveillant s’exécute dans une boucle infinie pour générer les adresses IPv4, le package tentant des connexions SSH simultanées à partir de la liste de mots.

Les informations sont transmises via l’API à un bot Telegram contrôlé par un acteur malveillant, nommé « @sshZXC_bot » (ssh_bot), qui accuse réception des identifiants. Les messages sont envoyés via le bot à un compte portant le pseudo « @io_ping » (Gett).

Un instantané d’Internet Archive du compte GitHub désormais supprimé montre que le portefeuille de logiciels d’IllDieAnyway comprenait un scanner de port IP, un analyseur d’informations de profil et de médias Instagram, et même un botnet de commande et de contrôle (C2) basé sur PHP appelé Selica-C2.

Leur chaîne YouTube , toujours accessible, propose plusieurs courtes vidéos expliquant comment pirater un bot Telegram et ce qu’ils présentent comme le « SMS bomber le plus puissant de la Fédération de Russie », capable d’envoyer des SMS et des messages indésirables aux utilisateurs de VK via un bot Telegram. Il semblerait que l’auteur de la menace soit d’origine russe.

« Le package décharge l’analyse et la devinette des mots de passe sur des opérateurs non avertis, répartit les risques sur leurs adresses IP et canalise les succès vers un seul bot Telegram contrôlé par un acteur malveillant », a déclaré Boychenko.

Il désactive la vérification de la clé d’hôte, génère une forte concurrence et se ferme après la première connexion valide pour privilégier une capture rapide. Comme l’API du bot Telegram utilise HTTPS, le trafic ressemble à des requêtes web normales et peut échapper aux contrôles de sortie les plus stricts.