Aanvallers wisten in maart verschillende Koreaanse Linux-servers te wissen via oude, onveilige en niet meer ondersteunde versies van twee beheerprogramma's. Tijdens een omvangrijke aanval werden bij Koreaanse banken en televisiemaatschappen zowel servers als desktopcomputers geïnfecteerd en gewist. De malware werd verspreid via patchmanagementservers.

De software die op deze servers draaide was ontwikkeld door de Koreaanse beveiligingsbedrijven AhnLab en Hauri. Onderzoekers gaan er vanuit dat de aanvallers inloggegevens van de patchmanagementservers wisten te bemachtigen, hoewel AhnLab eind maart waarschuwde dat er een kwetsbaarheid in het AhnLab Policy Center zat waardoor aanvallers zonder geldige inloggegevens konden inloggen.

Toen de aanvallers eenmaal toegang tot de patchmanagementservers hadden, werd er in plaats van updates onder tienduizenden computers een Trojaans paard verspreid dat de computers wiste en verbinding met Linux- en Unix-servers maakte om ook die te wissen.

Encryptie
Om met de servers verbinding te maken zocht de malware naar inloggegevens in de configuratiebestanden van de programma's mRemote en SecureCRT. mRemote is een programma dat externe verbindingen beheert, terwijl SecureCERT een SSH client is voor het opzetten van een SSH-verbinding naar een server. mRemote slaat alle wachtwoorden versleuteld op, maar de gebruikte encryptie is eenvoudig te omzeilen.

Dit beveiligingsprobleem werd op 2 juni 2011 geopenbaard door een beveiligingsonderzoeker. De ondersteuning van mRemote stopte in 2012. Het was daardoor eenvoudig voor de malware om de inloggegevens uit te lezen en daarmee vervolgens met de server verbinding te maken. Was er toegang tot de server gemaakt, dan werd er een kwaadaardig script uitgevoerd dat allerlei bestanden wiste.

Ook SecureCRT bewaart de wachtwoorden van eerder opgezette verbindingen naar een server in een versleuteld formaat. Beveiligingsonderzoeker Eric Romang stelt dat hier waarschijnlijk ook een probleem mee is, net als bij mRemote.

De malware was namelijk in staat om deze versleutelde wachtwoorden toch uit te lezen. In versie 7.0.3 van de software, die op 19 januari van dit jaar verscheen, was dit probleem niet meer aanwezig.

PuTTY
Romang ontdekte verder dat de malware ook meelift met PuTTY. Een populair programma dat systeembeheerders vaak gebruiken om verbinding met servers te maken. Via de privésleutel in de PuTTY registersleutel is het mogelijk voor de malware om een verbinding op te zetten.

Romang concludeert dat de aanvallers oude beveiligingslekken in oude software gebruikten om de *NIX-servers te infecteren, maar dat ze net zo goed PuTTY hadden kunnen aanvallen. De enige voorwaarde was dan wel dat PuTTY met privésleutels werd gebruikt. De onderzoeker adviseert dan ook geen privésleutels zonder passphrase te genereren.