askformore@bittnet.ro
Clase Programate

Atac cibernetic SkyCloak foloseste backdoor OpenSSH cu Tor

O noua campanie avansata de hacking: SkyCloak foloseste infrastructura Tor pentru a masca prezenta backdoor-urilor in servere compromisa

In luna noiembrie 2025, cercetatorii in securitate cibernetica au descoperit o operatiune sofisticata cunoscuta sub numele de SkyCloak, care utilizeaza o combinatie periculoasa intre OpenSSH compromis si retele Onion (Tor) pentru a infiltra si controla servere expuse. Aceasta campanie sofisticata de tip APT (Advanced Persistent Threat) se remarca prin persistenta, dificultatea detectiei si metodele criptate de comunicatie interna.

Ce inseamna operatiunea SkyCloak?

SkyCloak este o tactica complexa utilizata de atacatori care vizeaza servere Linux vulnerabile, injectand un backdoor stealth in cadrul procesului OpenSSH, unul dintre cele mai utilizate protocoale pentru accesul securizat la distante pe servere.

Elementele cheie ale atacului SkyCloak:

  • Modificarea binarului OpenSSH cu un backdoor personalizat
  • Aceasta varianta trunchiata a OpenSSH contine cod aditional nedetectabil de multe solutii traditionale EDR/AV
  • Comunicatie criptata prin retea Tor pentru a evita detectarea si atribuirile clasice de IP
  • Mentinerea unei persistente de lunga durata fara a afecta performanta serverului compromis

Tehnici avansate de evitare a detectiei

Unul dintre aspectele remarcabile ale campaniei SkyCloak este faptul ca atacatorii au modificat OpenSSH intr-o maniera care sa evite complet detectia de catre sistemele de monitorizare si log standard.

Mai exact, acestia au implementat:

  1. Autentificare ascunsa pe baza de parola statica sau chei SSH definite de hackeri
  2. Inregistrare selectiva a sesiunilor SSH – doar conexiunile legitime sunt trecute in log-uri
  3. Cod malitios injectat in runtime ce poate fi activ sau inactiv in functie de anumite comenzi
  4. Utilizarea Tor pentru a masca serverul de comanda si control (C2 – Command & Control)

Pentru operatorii sistemelor compromise, interfata si comportamentul OpenSSH pare complet normal, fiind dificil de depistat prin actiuni de analiza superficiala.

Comunicatie C2 prin Tor – un nou standard?

Canalul de control si comanda (C2) din SkyCloak este incapsulat in reteaua Tor – o alegere strategica pentru orice atacator avansat. Tor le permite operatorilor sa stabileasca o “punct de contact” (onion service) care nu este asociabil prin IP sau DNS cu entitatea reala din spatele atacului.

Avantajele comunicatiei prin Tor includ:

  • Anonimat complet datorita structurii descentralizate si criptate
  • Imposibilitatea blocarii simple prin firewall sau IPS/IDS
  • Persistenta remota care nu depinde de infrastructura cloud centralizata simplu de compromis

In analizarea binarelor, expertii au identificat componente ce ruleaza automat si care deschid conexiuni la servicii Tor ascunse (hidden services), facilitand controlul complet de catre atacator, fara niciun semnal vizibil asupra sistemului operat.

Cine se afla in spatele SkyCloak?

In acest moment, nu exista o atribuire oficiala a acestei campanii, dar caracterul avansat al atacului, codificarea meticuloasa si alegerea infrastructurilor sugereaza implicarea unei entitati cu resurse semnificative, posibil un stat-națiune.

Indicatori potentiali:

  • Coduri de comanda in rusa si chineza descoperite in structura interna
  • Backdoor-ul suporta custom shell commands, mimand tactici utilizate anterior de grupurile APT28, Lazarus sau Turla
  • Schimburi de chei criptografice personalizate – indiciu al unui actor cu dezvoltare proprie

Ce sisteme sunt vizate si cum pot fi protejate?

SkyCloak targeteaza in special servere Linux expuse online, care ruleaza distributii comune precum Ubuntu, CentOS sau Debian, in configuratii standard sau personalizate – cu accent pe serverele care nu ruleaza verificari de integritate constante.

Recomandari pentru protectie:

  • Verificarea semnaturilor binare pentru procesele esentiale precum SSH
  • Implementarea unui sistem de monitorizare a integritatii fisiere (ex: AIDE, Tripwire)
  • Audit periodic al conexiunilor active si configurarii SSHD
  • Dezactivarea accesului root remote si implementarea autentificarii cu chei, fara parola
  • Scanarea cu solutii capabile sa identifice comportamente APT si utilizare neobisnuita a sistemului DNS/Tor

Companiile care detin infrastructura critica, inclusiv organizatiile financiare sau de cloud hosting, sunt incurajate sa ruleze audituri la nivel de binar sau RAM pentru a depista eventuale variante de SSH patate cu backdoor-uri.

Ce este diferit la SkyCloak fata de atacurile anterioare?

Aceasta campanie ridica standardele in materie de stealth si persistenta si indica o noua directie: compromiterea infrastructurii critice la nivel de executabil de sistem, evitand modificarile evidente de fisiere de configurare sau scripturi externe.

Diferente notabile:

  • Integrare directa in OpenSSH – nu se mai bazeaza pe scripturi externe
  • Control complet prin Tor, fara prezenta unui IP de control clasic
  • Depistare extrem de dificila prin solutii clasice de antivirus – fiind nevoie de analiza de comportament avansata

Aceasta campanie arata o evolutie semnificativa a operatiunilor cibernetice moderne si demonstreaza nevoia urgenta a companiilor de a adopta sisteme Zero Trust si validari criptografice la fiecare nivel din infrastructura.

Concluzie

SkyCloak este un exemplu de amenintare cibernetica sofisticata ce scoate la iveala limitele actuale ale solutiilor de protectie si audit din infrastructura IT. Prin utilizarea OpenSSH modificat si comunicatii prin Tor, aceasta campanie a reusit sa penetreze si sa mascheze activitati rau-intentionate timp indelungat pe sisteme critice.

Pentru a evita astfel de scenarii, expertii recomanda o abordare proactiva, bazata pe integritatea componentelor esentiale ale sistemului, audit in timp real si monitorizare permanenta a serviciilor precum SSH.

SkyCloak reprezinta un nou semnal de alarma pentru administratorii sistemelor de productie si un caz de studiu pentru specialistii in cybersecurity care analizeaza evolutia metodelor APT in 2025.

Cu siguranta ai inteles care sunt noutatile din 2025 legate de securitate cibernetica, daca esti interesat sa aprofundezi cunostintele in domeniu, te invitam sa explorezi gama noastra de cursuri dedicate securitatii cibernetice din categoria Cybersecurity. Indiferent daca esti la inceput de drum sau doresti sa iti perfectionezi abilitatile, avem un curs potrivit pentru tine.