De Amerikaanse instantie vermoedt dat gestolen SSH-sleutels worden gebruikt om toegang te krijgen tot een systeem. Vervolgens worden lokale kernel exploits gebruikt om root access te verkrijgen. Als dit is gelukt wordt er een rootkit met de naam 'phalanx2' geïnstalleerd.

Phalanx2, dat vermoedelijk is afgeleid van de oudere rootkit 'phalanx', is zo geconfigureerd dat de SSH-sleutels op een gekraakt systeem automatisch worden gestolen. De sleutels worden doorgestuurd naar de aanvallers die er vervolgens weer andere sites en systemen mee aanvallen.

Details over de aanvallen zijn verder niet bekend. Mogelijk is er een verband met het OpenSSL-lek dat eerder dit jaar werd aangetroffen in Debian. Door het lek is het makkelijker om de 'random' gegenereerde cryptografische sleutels (waaronder die voor SSH, SSL-certificaten, OpenVPN) te voorspellen.

US-CERT raadt systeembeheerders aan om goed in kaart te brengen waar SSH-sleutels worden gebruikt binnen geautomatiseerde processen. De instantie legt in zijn advies uit hoe phalanx2 kan worden opgespoord.

Bron: Techworld.nl