Criminosos utilizam protocolo de chat dos anos 90 para invadir servidores Linux
12 FEV

Carta Branca - As notícias de último minuto estão sempre aqui. Fique por dentro!

SAIBA MAIS
Tecnologia
12 de Fevereiro de 2026
Vinícius de Moraes Neto Por Vinícius de Moraes Neto - Há 2 meses
13799 6 minutos de leitura

Uma nova operação criminosa, identificada como SSHStalker, está causando preocupação no mundo da segurança digital ao comprometer aproximadamente 7 mil servidores Linux globalmente. Essa botnet, que é uma rede de computadores infectados por malware e controlados remotamente por hackers, foi descoberta pela empresa de segurança Flare. Os especialistas da Flare montaram uma armadilha digital com senhas fracas para atrair os invasores e, ao longo de dois meses, conseguiram observar um padrão de ataque que não constava em nenhum banco de dados de malware conhecido.

O que surpreende nesse novo ataque é a utilização de técnicas antigas, que remontam aos anos 2000, combinadas com automação moderna, resultando em uma infraestrutura que se mostra resiliente e difícil de derrubar. A operação se utiliza do IRC (Internet Relay Chat), um protocolo de conversa muito popular na década de 90, semelhante ao WhatsApp daquela época, para coordenar suas atividades. Apesar de ultrapassado, o IRC é uma opção barata e robusta, com múltiplos pontos de backup, tornando-se uma escolha estratégica para os criminosos.

Os hackers adaptaram o EnergyMech, um framework que originalmente gerenciava canais de IRC, transformando-o em uma ferramenta para coordenar milhares de máquinas infectadas. O controle é realizado através de salas de chat que parecem normais, dificultando a detecção. Para isso, os bots criam identidades falsas, utilizando listas extensas de apelidos que incluem gírias romenas e referências da cultura pop, misturando-se com usuários reais e tornando mais complicado para as autoridades identificar as atividades maliciosas.

O processo de invasão inicia-se com uma varredura em massa em busca de servidores SSH que apresentem vulnerabilidades. Os atacantes fazem uso de um scanner falso chamado "nmap", que é escrito na linguagem Golang, e que se propaga automaticamente. Ao encontrar um servidor com a porta 22 aberta, que é utilizada para acesso remoto em sistemas Linux, os criminosos realizam um ataque de força bruta. Esse tipo de ataque consiste em testar várias combinações de senhas, apostando em opções fracas, como "admin/admin" ou "root/123456", que ainda são comuns em sistemas mal configurados.

Uma vez que os criminosos conseguem acessar o servidor, eles utilizam uma técnica avançada: em vez de simplesmente carregar um vírus já pronto, eles instalam o GCC, um compilador de linguagem C. Essa estratégia permite que o código malicioso seja transformado em um programa executável dentro do próprio servidor invadido, tornando mais difícil para os antivírus identificarem a ameaça, já que cada infecção gera um arquivo único.

Os atacantes instalam dois bots IRC que se conectam a diferentes servidores e salas como uma forma de redundância. Caso um deles seja derrubado, o outro continua operando. Além disso, os bots são projetados para funcionar em diferentes arquiteturas de hardware, como ARM, x86 e MIPS, aumentando ainda mais a sua eficácia.

No segundo estágio do ataque, um pacote denominado "GS" é baixado, contendo sete componentes maliciosos. Entre estes, há um chamado "distro", que identifica qual distribuição Linux está sendo utilizada — seja CentOS, Ubuntu ou RedHat — e ajusta a instalação maliciosa de acordo. Outros scripts apagam registros de acesso do sistema, dificultando investigações futuras.

Um dos aspectos mais preocupantes desse ataque é a sua capacidade de ressurgir automaticamente. O malware cria uma tarefa programada no cron, que roda a cada minuto para verificar se o vírus ainda está ativo. Se um administrador tentar encerrar o processo malicioso, ele é reativado em apenas 60 segundos. Para complicar ainda mais a remoção, o sistema prefere operar na memória RAM, utilizando caminhos temporários que desaparecem após o reinício do computador, mas que são recriados imediatamente após.

Os pesquisadores descobriram que os atacantes possuíam um arsenal de 81 exploits visando 16 CVEs diferentes, que são identificadores padronizados para falhas de segurança conhecidas. Notavelmente, muitos desses exploits são direcionados a versões antigas do kernel Linux, da série 2.6.x, que foram populares entre 2009 e 2010. Apesar de muitos sistemas modernos já estarem protegidos, estima-se que entre 1% e 3% dos servidores ainda sejam vulneráveis.

Além de montar uma botnet, os criminosos também instalaram programas destinados à mineração de criptomoedas, utilizando o poder de processamento dos servidores infectados para gerar Ethereum Classic. Também foram implementadas ferramentas para roubar credenciais da AWS (Amazon Web Services), permitindo que os invasores possam assumir o controle completo da infraestrutura em nuvem das vítimas.

A análise do código e dos artefatos coletados sugere uma possível origem romena dos atacantes. Embora o repositório apresente scripts em diversas línguas, como russo, chinês, alemão e francês, muitos deles são rastreáveis a malware público conhecido.

Desta forma, a combinação de técnicas antigas e novas utilizadas pelos hackers evidencia a necessidade de atualização constante das práticas de segurança digital. A adaptação de protocolos considerados obsoletos mostra que os criminosos estão sempre em busca de novas estratégias para explorar vulnerabilidades.

Em resumo, a utilização de senhas fracas e a falta de atualização em sistemas operacionais continuam sendo problemas recorrentes, que facilitam a ação de grupos cibercriminosos. É crucial que as empresas adotem medidas mais rigorosas de segurança cibernética.

Assim, é fundamental que instituições e usuários finais compreendam a importância de manter seus sistemas sempre atualizados e seguros. O investimento em ferramentas de proteção e monitoramento deve ser uma prioridade para evitar que esses ataques se tornem uma realidade ainda mais comum.

Encerrando o tema, a conscientização sobre as ameaças cibernéticas deve ser ampliada, com treinamentos frequentes sobre segurança digital. Somente através de uma abordagem proativa será possível mitigar os riscos associados a invasões como a do SSHStalker.

Finalmente, o papel das empresas de segurança cibernética é crucial nesse contexto. A colaboração entre setor privado e público é essencial para desenvolver estratégias eficazes de combate ao cibercrime e proteger a infraestrutura digital.

Uma Dica Especial para Você

Com a recente notícia sobre a operação SSHStalker e a vulnerabilidade de servidores Linux, é essencial garantir que sua rede permaneça segura e eficiente. O TP-Link LS105G - Switch Ethernet de 5 portas (10/100 ... é a solução perfeita para otimizar sua conexão e proteger seus dados contra ameaças.

Este switch de alta performance é ideal para quem busca uma conexão estável e rápida. Com cinco portas Ethernet, você pode conectar vários dispositivos sem perder qualidade na transmissão de dados. Além disso, a instalação é super simples e não requer configuração, permitindo que você comece a usar imediatamente e mantenha sua rede sempre segura e organizada.

Não deixe sua segurança em segundo plano! O TP-Link LS105G - Switch Ethernet de 5 portas (10/100 ... é uma oportunidade imperdível para quem valoriza a proteção e a eficiência da sua rede. Estoque limitado, garanta já o seu!

Gostou dessa notícia? Você pode compartilhá-la com seus amigos!

Tags: Notícias Tecnologia Brasil
Vinícius de Moraes Neto

Sobre Vinícius de Moraes Neto

Analista de sistemas com MBA em Segurança Cibernética. Atua protegendo dados críticos de grandes corporações nacionais. Paixão por cultura de código aberto e Linux. Constrói robôs autônomos como seu hobby principal.

VOCÊ TAMBÉM PODE GOSTAR