Разделы

Безопасность Администратору

Программы под Linux используют для незаконного входа в корпоративные сети

Эксперты ESET выявили киберкампанию, в рамках которой вредоносные программы под Linux используются для создания устойчивой инфраструктуры доступа в чужие сети. Часть вредоносов представляют собой модификации легитимных утилит под Linux.

Скрытная природа

Компания ESET обнаружила очередную киберкампанию с использованием вредоносного ПО под Linux.

Руткит FontOnLake обеспечивает злоумышленникам удаленный доступ в скомпрометированные системы. Как утверждают исследователи, вредоносы — а это руткит и бэкдор — появились где-то весной 2020 г. и с тех пор непрерывно совершенствуются.

«Скрытная природа инструментария FontOnLake, продвинутый дизайн и низкая распространенность свидетельствуют о том, что эти программы предназначены для целевых атак, — говорит эксперт ESET Владислав Герцка (VladislavHrčka). — Для сбора данных и проведения других операций вредоносы этого семейства используют модификации изначально легитимных двоичных программ, с помощью которых загружаются дополнительные компоненты. Присутствие FontOnLake всегда прикрывается руткитом. Эти двоичные программы широко используются в системах Linux и могут дополнительно служить в качестве механизма сохранения присутствия для вредоноса».

hak600.jpg
Выявлены новые руткит и бэкдор под Linux для целевых атак

Речь идет о троянизированных версиях легитимных утилит Linux, которые используются для загрузки руткитов на уровне ядра и бэкдоров с пользовательскими привилегиями. Все эти компоненты общаются друг с другом с помощью того, что специалисты назвали виртуальными файлами.

Видовое разнообразие

Бэкдор предназначен для мониторинга систем, секретного исполнения команд в сети и вывода реквизитов доступа к аккаунту.

Второй вариант бэкдора оснащен дополнительными функциями: он может использоваться как прокси-сервер, применяться для манипуляций с файлами, загрузки дополнительных файлов. Есть и третий вариант: обладая всеми функциями первого и второго, он способен запускать скрипты на Python и shell-команды.

Эксперты ESET указывают, что нашли две разные версии Linux-руткита, обе из которых основаны на открытом проекте Suterusu и в значительной степени дублируют функциональность друг друга — в том, что касается сокрытия процессов, файлов, сетевых соединений и самих себя. Они также могут осуществлять операции с файлами, и извлекать и запускать бэкдор.

Каким именно образом происходит первичное заражение, остается неизвестно: по словам специалистов ESET, злоумышленники очень тщательно подходят к сокрытию следов. Известно, что используются разные контрольные серверы с постоянно меняющимися нестандартными портами. Ранее выявленные С2-серверы к настоящему моменту уже неактивны, что, скорее всего, означает, что злоумышленники старательно отслеживают любые упоминания своей кампании.

Какая CRM подойдет вашей компании? Тест
Цифровизация

Владислав Герцка отметил, что большая часть функций выявленных вредоносов нацелена на обеспечение скрытности и длительного сохранения удаленного доступа. Это может означать, считает эксперт, что бэкдор и руткит предназначены главным образом для поддержания инфраструктуры для каких-то других возможных атак.

«В отсутствие информации о том, кто стоит за кампанией, можно лишь предполагать, для чего нужна эта инфраструктура. Такие вредоносные программы могут применяться коммерчески-мотивированными злоумышленниками для торговли доступом в скомпрометированные сети, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Впрочем, для осуществления длительной, но не слишком регулярной шпионской деятельности такие инструменты тоже вполне пригодны».

Роман Георгиев