Avira для Windows 10 info@avirus.ru

Обнаружен самый изощренный троян для Linux

Антивирусная компания Symantec сообщила общественности, что обнаружела очень "хитрый" бекдор для платформы Linux. Данный бекдор нацелен на протокол SSH для скрытого управления сервером, в результате чего были похищены персональные данные клиентов одной из хостинг-компаний.

Персональные данные клиентов, в частности логины, пароли, электронные ящики и номера счетов клиентов были украдены судя по всему из-за какой либо коммерческой выгоды.

Хакеры были осведомлены, что сеть провайдера обладает надежной защитой, и чтобы проникнуть в сеть провайдера, не создавая подозрительный траффик, который привлечет службу безопасности, внедрили данный бекдор в систему, с помощью которого и управляли сервером.

После внедрения в систему, троян Linux.Fokirtor передал злоумышленникам всю необходимую информацию: имя хоста, IP-адрес, порт, логин, пароль и ключ шифрования SSH. С помощью этих данных, хакеры посылали на сервер легитимные запросы с выполнением различных команд. Для того чтобы невозможно было обнаружить нарушителей, весь траффик шифровался и передавался вместе с пользовательским траффиком.

Находясь на сервере, бекдор мониторил весь проходящий траффик SSH, на наличие символов «двоеточие, восклицательный знак, точка с запятой и точка» («:!;.»). После обнаружения данной последовательности, троян переходил в режим приема данных, извлекая данные, зашифрованные Blowfish и Base64.

Таким образом атакующие могли формировать обычные сетевые запросы через SSH или другие протоколы и легко добавлять секретную последовательность команд, избегая обнаружения. Команды исполнялись сервером, и их результаты отсылались обратно хакерам. Среди команд были и те, которые заставили сервер отправить персональные данные клиентов провайдера.

Атака на хостинг-провайдера указанным методом была совершена в мае 2013 г. Название компании в Symantec не сообщают.

Специалисты Symantec отмечают, что на фоне регулярных атак, которые происходят ежедневно, указанная атака носит исключительный характер. В частности, она отличается своей изощренностью. Ранее в Symantec подобные атаки не встречали.

Источник: www.soft.mail.ru