Программа для чтения PDF под Linux шпионила за пользователями

Софт Безопасность
мобильная версия
, Текст: Роман Георгиев

«Заброшенный» дистрибутив программы для чтения PDF-файлов, был скомпрометирован неизвестным хакером, который добавил в нее код для сбора сведений о системах.


Дистрибутив-«сирота»

Вредоносный софт был обнаружен в нескольких дистрибутивах Arch Linux, опубликованных в репозитории Arch User Repository (AUR). Этот ресурс предназначен для дистрибутивов, составленных самими пользователями ОС. Благодаря оперативному вмешательству администраторов AUR, вредоносный софт был быстро удален.

AUR позволяют всем желающим работать с «заброшенными» дистрибутивами программ или библиотек. Некто под ником xeactor получил контроль над дистрибутивом acroread, программы, предназначенной для чтения PDF-файлов под Arch Linux. Она очень давно не обновлялась и, судя по комментариям, не вполне работоспособна.

Хакер добавил в дистрибутив программу, которая скачивает файл под названием «~x» с сайта ptpb.pw (этот ресурс имитирует Pastebin.com). В случае установки скомпрометированного дистрибутива на ПК, файл «~x» скачивает еще один файл — «~u» — и запускает его каждые 360 секунд.

В пользовательском репозитории Arch Linux нашли вредоносное ПО

Файл «~u» собирает данные о каждой инфицированной системе, в том числе идентификатор компьютера, сведения о ЦП, информацию о менеджере дистрибутива Pacman и ответы системы на команды «uname –a» и «systemctl list-units».

Все эти сведения выкладываются в виде отдельного файла на удаленный ресурс. Никаких деструктивных действий сами по себе ни «~x», ни «~u» не предпринимают, просто собирают данные. Для чего, неизвестно. Сейчас на странице дистрибутива acroread висит уведомление о том, что он был скомпрометирован.

Другие захваты хакера

Аналогичный код, собирающий данные о системе, обнаружился еще в двух дистрибутивах, захваченных xeactor. Администраторы Arch Linux довольно быстро ликвидировали этот код и деактивировали аккаунт xeactor.

Как называются эти два дистрибутива, до которых дотянулся xeactor, пока остается неизвестным.

Пожалуйста, ничего лишнего

«В то время как эти файлы едва ли можно назвать вредоносными, метод их внедрения в дистрибутивы указывает на недобрые намерения, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Поэтому реакция администраторов Arch Linux абсолютно адекватна и оправданна. Проблема в том, что если "заброшенный" дистрибутив AUR действительно может захватывать любой желающий, ничто не помешает хакерам продолжить заражать такие дистрибутивы, причем уже куда менее безобидными вредоносами».