Mõni päev tagasi Turbeuurijad on avastanud uue sorti Linuxi pahavara Tundub, et selle on loonud Hiina häkkerid ja seda on kasutatud nakatunud süsteemide kaugjuhtimise vahendina.
Nimetatakse HiddenWaspiks, See pahavara koosneb kasutajarežiimi juurkomplektist, Troojast ja esialgsest juurutuskriptist.
Erinevalt teistest Linuxis töötavatest pahatahtlikest programmidest kood ja kogutud tõendid näitavad, et need samad häkkerid on juba nakatunud arvuteid ohustanud.
HiddenWasp'i hukkamine oleks seega selle ohu hävitamise ahelas edasijõudnud etapp.
Kuigi artiklis öeldakse, et me ei tea, mitu arvutit nakatati või kuidas ülaltoodud toimingud sooritati, tuleb siiski märkida, et enamik "Backdoor" tüüpi programme installitakse objektil klõpsates. (link, pilt või käivitatav fail), ilma et kasutaja saaks aru, et see on oht.
Sotsiaalne insener, mis on troojalaste rünnaku vorm, et ohvreid meelitada oma arvutisse või mobiilseadmetesse tarkvarapakette nagu HiddenWasp installima, võiks olla nende ründajate eesmärkide saavutamiseks kasutatav tehnika.
Põgenemis- ja heidutusstrateegias kasutab komplekt bashi skripti, millega kaasneb kahendfail. Intezeri teadlaste sõnul on Total Virusist alla laaditud failidel tee, mis sisaldab Hiinas asuva kohtuekspertiisi ühiskonna nime.
HiddenWasp'i kohta
Pahavara HiddenWasp koosneb kolmest ohtlikust komponendist, nagu Rootkit, Trooja ja pahatahtlik skript.
Ohu osana töötavad järgmised süsteemid.
- Kohaliku failisüsteemi manipuleerimine: Mootorit saab kasutada igasuguste failide üleslaadimiseks ohvri hostidesse või kaaperdamiseks igasugune kasutaja teave, sealhulgas isiklik ja süsteemiteave. See on eriti murettekitav, kuna seda saab kasutada selliste kuritegude tekkimiseks nagu finantsvargus ja identiteedivargus.
- Käskude täitmine: peamootor saab automaatselt käivitada igasuguseid käske, ka juurjuurdepääsuga, kui selline turva ümbersõit on lisatud.
- Lisakoormuse kohaletoimetamine: loodud nakkusi saab kasutada muu pahavara, sealhulgas lunavara ja krüptoraha serverite installimiseks ja käivitamiseks.
- Trooja operatsioonid: HiddenWasp Linuxi pahavara saab kasutada mõjutatud arvutite juhtimiseks.
Lisaks pahavara oleks hostitud Hongkongis asuva füüsilise serveri hostimise ettevõtte Think Dream serverites.
"Linuxi pahavara, mida teised platvormid ikka veel ei tunne, võib tekitada turvakogukonnale uusi väljakutseid," kirjutas oma artiklis Intezeri uurija Ignacio Sanmillan
"Asjaolu, et see pahatahtlik programm suudab jääda radari alla, peaks olema punane lipp turvatööstusele, et pühendada rohkem jõupingutusi või ressursse nende ohtude avastamiseks," ütles ta.
Teised eksperdid kommenteerisid seda küsimust ka Tom Hegel, AT&T Alien Labsi turvateadlane:
„Tundmatuid on palju, kuna selle tööriistakomplekti osadel on teatud koodide / taaskasutuse kattuvus erinevate avatud lähtekoodiga tööriistadega. Kuid tuginedes suurele kattuvuse mustrile ja infrastruktuuri kujundusele, hindame lisaks sihtmärkide kasutamisele enesekindlalt seost Winnti vihmavarjuga.
Tim Erlin, Tripwire'i tootehalduse ja strateegia asepresident:
„HiddenWasp pole oma tehnoloogia poolest ainulaadne, peale selle, et see on suunatud Linuxile. Kui jälgite oma Linuxi süsteeme kriitiliste failimuudatuste, uute failide ilmumise või muude kahtlaste muudatuste suhtes, on pahavara tõenäoliselt HiddenWasp ”
Kuidas ma tean, et minu süsteem on rikutud?
Nende süsteemi nakatumise kontrollimiseks võivad nad otsida faile "ld.so". Kui mõni failidest ei sisalda stringi '/etc/ld.so.preload', võib teie süsteem olla ohustatud.
Seda seetõttu, et Trooja implantaat üritab ld.so eksemplare lappida, et jõustada LD_PRELOAD-mehhanism meelevaldsetest asukohtadest.
allikas: https://www.intezer.com/