Pred nekaj dnevi Raziskovalci varnosti so odkrili novo vrsto zlonamerne programske opreme Linux Zdi se, da so ga ustvarili kitajski hekerji in je bil uporabljen kot sredstvo za daljinsko upravljanje okuženih sistemov.
Imenovano HiddenWasp, Ta zlonamerna programska oprema je sestavljena iz rootkita v uporabniškem načinu, trojanca in začetnega skripta za uvajanje.
Za razliko od drugih zlonamernih programov, ki se izvajajo v Linuxu, koda in zbrani dokazi kažejo, da so ti isti hekerji že ogrozili okužene računalnike.
Izvršitev HiddenWaspa bi bila torej napredna stopnja v verigi uničenja te grožnje.
Čeprav v članku piše, da ne vemo, koliko računalnikov je bilo okuženih ali kako so bili izvedeni zgornji koraki, je treba opozoriti, da je večina programov tipa "Backdoor" nameščena s klikom na predmet. (povezava, slika ali izvedljiva datoteka), ne da bi se uporabnik zavedal, da gre za grožnjo.
Socialni inženiring, ki je oblika napada, s katero trojanci prevarajo žrtve, da na njihove računalnike ali mobilne naprave namestijo programske pakete, kot je HiddenWasp, bi lahko bila tehnika, ki so jo ti napadalci uporabili za dosego svojih ciljev.
V svoji strategiji pobega in odvračanja uporablja bash skript, ki ga spremlja binarna datoteka. Po mnenju raziskovalcev Intezerja imajo datoteke, prenesene iz Total Virus, pot, ki vsebuje ime forenzične družbe s sedežem na Kitajskem.
O HiddenWasp
Zlonamerna programska oprema HiddenWasp je sestavljen iz treh nevarnih komponent, kot so Rootkit, Trojan in zlonamerni skript.
Naslednji sistemi delujejo kot del grožnje.
- Manipulacija z lokalnim datotečnim sistemom: Mehanizem se lahko uporablja za nalaganje vseh vrst datotek na žrtvine gostitelje ali ugrabitev kakršnih koli uporabniških podatkov, vključno z osebnimi in sistemskimi podatki. To je še posebej zaskrbljujoče, saj se lahko uporablja za kazniva dejanja, kot sta finančna kraja in kraja identitete.
- Izvedba ukaza: glavni mehanizem lahko samodejno zažene vse vrste ukazov, vključno s tistimi s korenskimi dovoljenji, če je vključen tak varnostni obvod.
- Dostava dodatnega tovora: ustvarjene okužbe je mogoče uporabiti za namestitev in zagon druge zlonamerne programske opreme, vključno z odkupno programsko opremo in strežniki za kriptovalute.
- Trojanske operacije: Zlonamerno programsko opremo HiddenWasp Linux je mogoče uporabiti za prevzem nadzora nad prizadetimi računalniki.
Poleg tega, zlonamerna programska oprema bi gostovala na strežnikih fizičnega strežniškega podjetja Think Dream s sedežem v Hong Kongu.
"Zlonamerna programska oprema Linux še vedno neznana drugim platformam lahko ustvari nove izzive za varnostno skupnost," je v svojem članku zapisal raziskovalec Intezerja Ignacio Sanmillan
"Dejstvo, da ta zlonamerni program uspe ostati pod radarjem, bi moralo biti rdeča zastava za varnostno industrijo, da nameni več truda ali sredstev za odkrivanje teh groženj," je dejal.
Tudi drugi strokovnjaki so zadevo komentirali, Tom Hegel, raziskovalec varnosti v AT&T Alien Labs:
»Neznank je veliko, saj se deli tega nabora orodij prekrivajo z različnimi odprtokodnimi orodji. Vendar na podlagi velikega vzorca prekrivanja in zasnove infrastrukture poleg njene uporabe v ciljih samozavestno ocenjujemo tudi povezavo z Winnti Umbrella.
Tim Erlin, podpredsednik za upravljanje izdelkov in strategijo pri Tripwire:
»HiddenWasp po svoji tehnologiji ni edinstven, razen da cilja na Linux. Če spremljate svoje sisteme Linux zaradi kritičnih sprememb datotek, pojava novih datotek ali drugih sumljivih sprememb, je zlonamerna programska oprema verjetno označena kot HiddenWasp. "
Kako naj vem, da je moj sistem ogrožen?
Če želite preveriti, ali je njihov sistem okužen, lahko poiščejo datoteke "ld.so". Če katera od datotek ne vsebuje niza '/etc/ld.so.preload', bo vaš sistem morda ogrožen.
Razlog za to je, da bo trojanski vsadek poskušal popraviti primerke ld.so za uveljavitev mehanizma LD_PRELOAD na poljubnih lokacijah.