Após logar via SSH por meio de credenciais válidas e escalar privilégios via CVE-2016-5195, o autor da invasão modificou duas funções do cliente SSH e do servidor (sshd), para que sempre que alguém entrasse com credenciais legítimas estas fossem copiadas para um arquivo específico para posterior extração.
Este fato foi interessante para notarmos que os binários nativos do nosso sistema podem sim ser alterados e, com isto, agir de forma maliciosa. Devemos ficar de olho em tudo, certo?! ?