Cambiaron la contraseña y aun así el hacker logró entrar. PamDOORa: un virus contra el que es casi imposible defenderse.
Hackers aprovechan el sistema de autenticación de Linux para atacar a sus propios usuarios.
En el foro de hackers Rehub empezaron a vender una nueva herramienta maliciosa para Linux llamada PamDOORa. El autor, que se oculta bajo el nombre darkworm, pedía inicialmente $1600 por el programa, pero semanas después bajó el precio casi a la mitad, a $900. Por la reducción del precio, parece que hubo menos compradores de los esperados.
PamDOORa es un módulo oculto para el sistema de autenticación de Linux. Tras la infección, el servidor empieza a aceptar una contraseña "mágica" y una combinación determinada de puerto de red, permitiendo al atacante conectarse de forma sigilosa por SSH incluso después de cambiar las credenciales habituales. Al mismo tiempo, el malware recopila los nombres de usuario y las contraseñas de todos los usuarios que inician sesión en el sistema.
Los especialistas de Flare.io consideran a PamDOORa una herramienta completa para afianzarse en infraestructuras ya comprometidas. El malware utiliza el mecanismo PAM, el sistema de autenticación enchufable de Unix y Linux. PAM permite a los administradores cambiar los métodos de acceso al sistema sin reescribir programas, por ejemplo, pasar de contraseñas a biometría. Debido a la integración profunda, los módulos PAM se ejecutan con privilegios de root, por lo que el componente malicioso obtiene prácticamente el control total del sistema.
PamDOORa se convirtió en el segundo malware conocido para PAM tras Plague. Este tipo de herramientas son especialmente peligrosas porque PAM transmite las contraseñas en texto claro entre módulos de autenticación. Los atacantes pueden interceptar credenciales, inyectar sus propios scripts y mantener el acceso al servidor durante meses.
Además de robar contraseñas, PamDOORa puede ocultar las huellas de su presencia. El malware modifica los registros de autenticación y elimina las entradas sobre accesos sospechosos. Ese enfoque dificulta seriamente la investigación de incidentes y la búsqueda de la fuente de la compromisión.
Por ahora los especialistas no han detectado ataques que utilicen PamDOORa; sin embargo, el esquema de infección parece bastante sencillo. Primero, el atacante obtiene acceso root al servidor por cualquier método disponible y luego instala el módulo PAM malicioso para mantener acceso persistente y recopilar credenciales.
En Flare.io consideran que PamDOORa supera notablemente a la mayoría de los módulos maliciosos abiertos para PAM. El desarrollo combina el robo de credenciales, la conexión sigilosa, la protección contra el análisis y un sistema de compilación de módulos para distintas configuraciones de Linux. Este conjunto de funciones acerca la herramienta al nivel de plataformas profesionales que emplean operadores experimentados de grupos de ciberdelincuencia.