Bir çox internet istifadəçisi üçün unudulmuş IRC (Internet Relay Chat) protokolunu xatırlayan hakerlər, yeni aşkarlanan Linux botneti olan SSHStalker-in bu köhnə üsullardan istifadə etməsi ilə maraqlanır. IRC, 1988-ci ildə yaradılmış, sadəliyi və müxtəlif platformalarla uyğunluğu ilə texniki icmalar arasında məşhur bir mesajlaşma sistemi idi.
SSHStalker, yoluxmuş Linux cihazlarını idarə etmək üçün klassik IRC protokoluna güvənir. Müasir idarə və nəzarət çərçivələrindən fərqli olaraq, bu botnet bir neçə bot, ehtiyat kanallar və serverlərdən istifadə edərək nəzarətini saxlayır və əməliyyat xərclərini azaltmağa çalışır.
SSHStalker-in zərərli proqramı, avtomatlaşdırılmış SSH taramaları və güc tətbiqi hücumları ilə ilkin giriş əldə edir, daha sonra açıq mənbə şəbəkə aləti nmap kimi gizlənmiş Go əsaslı bir ikili fayl vasitəsilə serverlərə sızır. Flare təhlükəsizlik firmasının tədqiqatçıları, bir ay ərzində, əsasən Oracle Cloud mühitlərini hədəf alan təxminən 7,000 bot tarama nəticəsini sənədləşdirib. Host infeksiyaya məruz qaldıqda, bu da botnetin yayılma mexanizminin bir hissəsinə çevrilir və digər serverləri qurd kimi skan edir.
Infeksiya sonrası, SSHStalker, GCC kompilyatorunu birbaşa yoluxmuş sistemdə yük fayllarını qurmaq üçün yükləyir ki, bu da onun C əsaslı IRC botlarının fərqli Linux paylamalarında etibarlı şəkildə işləməsini təmin edir. Bu botlar, hostu IRC nəzarətli botnetə daxil edən əvvəlcədən kodlanmış serverlər və kanallar saxlayır. GS və bootbou adlı əlavə yük faylları, yoluxmuş maşınların mərkəzləşdirilmiş IRC nəzarəti altında genişlənə bilən bir şəbəkə yaratmaq üçün orkestrasiya və icra ardıcıllığını təmin edir. Hər host üzərində davamlılıq, hər dəqiqə işə salınmış cron işləri vasitəsilə əsas bot prosesini izləyərək və əgər dayandırılarsa onu yenidən işə salaraq təmin edilir.
