Los servidores Linux son uno de los objetivos más codiciados por los ciberdelincuentes, ya que suelen albergar información sensible y recursos valiosos. Sin embargo, no todos los ataques a estos sistemas son iguales. Algunos son más sofisticados y sigilosos que otros, y pueden pasar desapercibidos durante mucho tiempo. Este es el caso de Krasue, un malware que se ha descubierto recientemente y que se oculta en los servidores Linux usando rootkits.
Krasue es un malware que se clasifica como un troyano de acceso remoto (RAT, por sus siglas en inglés), es decir, un programa malicioso que permite a los atacantes controlar el sistema infectado de forma remota. El nombre de Krasue proviene de un espíritu nocturno de la mitología del sudeste asiático, que se caracteriza por tener un apetito insaciable y por flotar en el aire sobre el suelo.
Según los investigadores de seguridad que han analizado este malware, Krasue lleva activo desde 2021 y ha atacado principalmente a empresas de telecomunicaciones en Tailandia, aunque no se descarta que haya afectado a otras organizaciones en otros sectores o países. El objetivo de Krasue es mantener el acceso al sistema infectado el mayor tiempo posible, sin ser detectado por las soluciones de seguridad.
Te podrá interesar leer: Entendiendo el NJRat Malware: Detección y Mitigación
Krasue se instala en el servidor Linux y se ejecuta como un proceso legítimo, que suele ser el de VMware, una herramienta de virtualización muy utilizada. Para evitar ser descubierto, Krasue utiliza varios rootkits, que son programas que modifican el funcionamiento del sistema operativo para ocultar la presencia del malware y sus actividades.
Los rootkits de Krasue están incrustados en el binario del malware y son compatibles con diferentes versiones del kernel de Linux. Los rootkits se basan en proyectos de código abierto, como Diamorphine, Suterusu y Rooty, que se pueden encontrar fácilmente en Internet. Los rootkits de Krasue pueden interceptar las llamadas al sistema, las funciones relacionadas con la red y las operaciones de listado de archivos, para evitar que el malware sea eliminado o bloqueado.
Además, Krasue utiliza un protocolo poco común para comunicarse con el servidor de control y mando (C2) de los atacantes: el protocolo RTSP (Real Time Streaming Protocol), que se usa para transmitir contenido multimedia en tiempo real. De esta forma, Krasue envía mensajes RTSP al C2 para informar de que está vivo y para recibir instrucciones. Estos mensajes pueden pasar desapercibidos por los sistemas de detección de intrusiones, ya que se confunden con tráfico legítimo.
Las comunicaciones entre Krasue y el C2 también permiten al malware asignar una dirección IP como su servidor maestro, obtener información sobre el malware y el sistema infectado, y hasta autodestruirse si es necesario.
Te podrá interesar: Rootkits en Seguridad Informática: ¿Qué son?
Krasue es un malware muy peligroso, ya que puede comprometer la seguridad y la privacidad de los datos y los recursos de los servidores Linux. Por eso, es importante adoptar una serie de medidas preventivas y correctivas para evitar o mitigar los efectos de este tipo de ataques.
Algunas de las medidas que se recomiendan son las siguientes:
También te podrá interesar leer: Acronis Backup for Linux: Protección de Datos
Krasue es un ejemplo más de la evolución y la sofisticación de los ataques a los servidores Linux, que requieren de una mayor concienciación y protección por parte de los administradores y los usuarios. Por eso, es fundamental seguir las mejores prácticas de seguridad y estar al día de las últimas amenazas y tendencias en el ámbito de la ciberseguridad.