USD
405.69₸
EUR
455.51₸
RUB
5.72₸
BRENT
42.78$
BTC
9090.01$ ↑
+0.002
ETH
226.39$ ↓
-0.000
LTC
41.31$ ↑
+0.009
ГлавнаяТехнологииОбнаружен «самый изощренный» троян для Linux

Обнаружен «самый изощренный» троян для Linux

Атакующие понимали, что сеть провайдера обладает надежной защитой

Компания Symantec сообщила об обнаружении трояна для Linux, с помощью которого была взломана сеть крупного хостинг-провайдера. В результате взлома хакеры получили доступ к логинам, паролям, электронным адресам и номерам счетов клиентов.

Атакующие понимали, что сеть провайдера обладает надежной защитой. Поэтому перед ними встала задача проникнуть в нее, не генерируя подозрительный трафик, что могло привлечь внимание службы безопасности. В итоге они разработали и внедрили троян, который открывал собственный бэкдор («лазейку»), через которую хакеры могли бы управлять удаленной системой.

После внедрения троян Linux.Fokirtor передал в закодированном виде злоумышленникам имя хоста, IP-адрес, порт, пароль, ключ SSH и логин.

Получив указанные реквизиты, хакеры смогли отправлять на удаленный сервер вполне легитимные запросы на выполнение различных команд, используя стандартный протокол SSH. При этом, чтобы не быть обнаруженными, они зашифровывали команды и помещали их в привычный не вызывающий подозрений трафик.

Находясь на удаленном сервере, троян выполнял непрерывный мониторинг трафика, приходящего по протоколу SSH, с целью поиска последовательности символов «двоеточие, восклицательный знак, точка с запятой и точка» («:!;.»).

После обнаружения такой последовательности, служившей командой на чтение трафика, троян переходил в режим приема последующих данных и извлекал из них команды, зашифрованные с помощью технологий Blowfish и Base64. Сообщения, содержащие команды управления, могли выглядеть следующим образом: :!;.UKJP9NP2PAO4.

Таким образом атакующие могли формировать обычные сетевые запросы через SSH или другие протоколы и легко добавлять секретную последовательность команд, избегая обнаружения. Команды исполнялись сервером, и их результаты отсылались обратно хакерам. Среди команд были и те, которые заставили сервер отправить персональные данные клиентов провайдера.

Атака на хостинг-провайдера указанным методом была совершена в мае 2013 г. Название компании в Symantec не сообщают.

Специалисты Symantec отмечают, что на фоне регулярных атак, которые происходят ежедневно, указанная атака носит исключительный характер. В частности, она отличается своей изощренностью. Ранее в Symantec подобные атаки не встречали.

При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.
Подпишитесь на дайджест

Краткий обзор главных новостей недели

Новости партнеров: