Обнаружен "самый изощренный" троян для Linux

Специалисты антивирусной компании Symantec рассказали о трояне для Linux, который поразил их своей изощренностью. С его помощью хакеры создали собственный бэкдор, чтобы использовать протокол SSH для скрытого управления удаленным сервером. В результате были похищены персональные данные клиентов хостинг-провайдера.

Атакующие понимали, что сеть провайдера обладает надежной защитой. Поэтому перед ними встала задача проникнуть в нее, не генерируя подозрительный трафик, что могло привлечь внимание службы безопасности. В итоге они разработали и внедрили троян, который открывал собственный бэкдор ("лазейку"), через которую хакеры могли бы управлять удаленной системой.

После внедрения троян Linux.Fokirtor передал в закодированном виде злоумышленникам имя хоста, IP-адрес, порт, пароль, ключ SSH и логин.

Получив указанные реквизиты, хакеры смогли отправлять на удаленный сервер вполне легитимные запросы на выполнение различных команд, используя стандартный протокол SSH. При этом, чтобы не быть обнаруженными, они зашифровывали команды и помещали их в привычный не вызывающий подозрений трафик.

Находясь на удаленном сервере, троян выполнял непрерывный мониторинг трафика, приходящего по протоколу SSH, с целью поиска последовательности символов "двоеточие, восклицательный знак, точка с запятой и точка" (":!;.").

После обнаружения такой последовательности, служившей командой на чтение трафика, троян переходил в режим приема последующих данных и извлекал из них команды, зашифрованные с помощью технологий Blowfish и Base64. Сообщения, содержащие команды управления, могли выглядеть следующим образом: :!;.UKJP9NP2PAO4.

Таким образом атакующие могли формировать обычные сетевые запросы через SSH или другие протоколы и легко добавлять секретную последовательность команд, избегая обнаружения. Команды исполнялись сервером, и их результаты отсылались обратно хакерам. Среди команд были и те, которые заставили сервер отправить персональные данные клиентов провайдера.

Атака на хостинг-провайдера указанным методом была совершена в мае 2013 г. Название компании в Symantec не сообщают.

Специалисты Symantec отмечают, что на фоне регулярных атак, которые происходят ежедневно, указанная атака носит исключительный характер. В частности, она отличается своей изощренностью. Ранее в Symantec подобные атаки не встречали. 

CNews

Похожие записи
В России обнаружен новый Android-троян, ворующий деньги со счетов жертв4

В России обнаружен новый Android-троян, ворующий деньги со счетов жертв4

19.07.2017

Исследователи российской компании Group-IB зафиксировали распространение нового вредоносного приложения, ворующего деньги с банковских счетов своих жертв. AndroidInsider.ru рассказывает об о...

Хакеры научились удаленно блокировать iPhone

Хакеры научились удаленно блокировать iPhone

29.09.2017

Для разблокировки жертва должна заплатить биткоины. Хакеры нашли способ, как удаленно заблокировать устройства класса Mac и iPhone. Для этого они используют функцию "найти мой iPhone"...

Как управлять самолетом с помощью мысли

Как управлять самолетом с помощью мысли

09.09.2012

Ученые из Университета Zheijang в Китае успешно протестировали инновационную систему, которая позволяет осуществлять навигацию воздушного судна мыслью человеческого мозга. В своем эксперименте они исп...

Apple теперь продает серию аксессуаров, которые ранее были эксклюзивными для iMac Pro

Apple теперь продает серию аксессуаров, которые ранее были эксклюзивными для iMac Pro

22.06.2018

Потребовалось несколько месяцев после запуска очень дорогого, профессионального все-в-одном iMac Pro, но Apple теперь индивидуально продает серию Magic Keyboard, Magic Trackpad и Magic Mouse, которые ...