Спецпроекты

Безопасность Техника

Хакерское ПО, созданное по принципу швейцарского ножа, атакует системы под Linux

Компания Intezer перехватила новый модульный вредонос, атакующий системы под Linux. Как они его получили, не уточняется: эксперты утверждают, что еще не видели этот вредонос в работе.

Швейцарский нож

Исследователи компании Intezer объявили о выявлении вредоносного фреймворка Lightning Framework, нацеленного на системы под управлением Linux.

Вредонос имеет модульную структуру, так что исследователи уже сравнили его со швейцарским ножом. Lightning способен устанавливать в скомпрометированную систему множество руткитов и плагинов, а также открывать к ней доступ через SSH.

Основными компонентами фреймворка являются загрузчик и модуль ядра, чья функциональность расширяется необходимыми плагинами. Часть из них, как отметили эксперты Intezer, представляют собой программы с открытым кодом.

Основной задачей загрузчика является активация ядра и загрузка сторонних модулей. Ядро, в свою очередь, обменивается данными с контрольными серверами и запускает плагины.

Эксперты Intezer отмечают, что вредонос маскирует свои компоненты названиями, малоотличимыми от названий легитимных программных компонентов. Например, загрузчик пытается выдавать себя за Seahorse — менеджер паролей и криптоключей под GNOME (исполняемый файл kbioset загружается в каталог /usr/Lib64/seahorses/).

lin600.jpg
Новый вредоносный фреймворк устанавливает руткиты на Linux

Впрочем, это далеко не единственные методики обеспечения скрытности. Например, вредонос постоянно модифицирует время и дату создаваемых им файлов так, чтобы они совпадали с аналогичными характеристиками легитимных приложений whoami, find или su. Идентификатор процессов (ProcessID — PIT) скрывается, как и сетевые порты, которыми пользуются устанавливаемые руткиты.

Данные о контрольных серверах хранятся в полиморфных файлах настроек, уникальных для каждой установки фреймворка. «Это означает, что файлы настроек не удастся найти с помощью таких методов как хэши. Ключи встроены в начало зашифрованного файла», — говорится в исследовании Intezer.

Исследователи заявляют, что еще не наблюдали Lightning Framework «в деле» — в реальных атаках. Также им не удалось обнаружить все плагины, ссылки на которые нашлись в программном коде вредоноса. При этом исследователи не уточнили, каким образом им удалось перехватить сам фреймворк.

Инновации с бешеной скоростью

«Год за годом среды Linux все чаще становятся целью вредоносного ПО в связи с повышенным интересом со стороны злоумышленников. В 2021 г. вредоносы под Linux продемонстрировали значительный всплеск: появилось большое количество нового кода, в первую очередь, шифровальщиков, троянцев и ботнетов. По мере того как ширится использование облаков неудивительно, что инновации в сфере вредоносного ПО производятся бешеными темпами», — говорится в исследовании. Эксперты отметили впрочем, что столь широкомасштабные фреймворки под Linux встречаются нечасто.

«Linux — это в первую очередь высокопроизводительные системы, используемые крупными предприятиями (в том числе критической инфраструктуры), облачными вендорами и другими структурами, атаки на которых могут составлять повышенную угрозу, — говорит Алексей Водясов, технический директор компании SEQ. — Соответственно, интерес продвинутых киберзлоумышленников к таким системам постоянно растет, а значит, растет и количество сложных вредоносных программ для них. Lightning Framework — редкий, но весьма красноречивый пример».

Роман Георгиев

Короткая ссылка