Спецпроекты

Безопасность

Северокорейские кибершпионы натравили на Южную Корею новый Linux-бэкдор

Исследователи Symantec задокументировали новый хакерский инструмент северокорейского производства, Linux-версию более раннего троянца под Windows. Атаки с его помощью нацелены на госсектор Южной Кореи.

Версия под Linux

Северокорейская группировка Kimsuky, считающаяся подразделением военной разведки КНДР, начала использовать новый бэкдор под Linux для атак на южнокорейские правительственные организации.

Бэкдор Gomir, по-видимому, является Linux-разновидностью более ранней вредоносной программы под Windows GoBear. Оба вредоноса написаны на языке Go(lang). GoBear использовался в ходе выявленной в феврале этого года кампании, в ходе которой Kimsuky атаковали южнокорейские организации с помощью троянизированных версий легитимных программных пакетов (TrustPKI, NX_PRNMAN и Wizvera VeraPort), в результате чего в системы устанавливались троянец-инфостилер Troll и GoBear.

Gomir - логическое продолжение той же кампании. Вредонос характеризуется прямым обменом данными с контрольным сервером, наличием механизмов сохранности присутствия и способностью выполнять большое количество различных команд.

Северокорейские хакеры используют новый бэкдор под Linux для кибератак на госсектор Южной Кореи

После установки вредонос проверяет, с какими привилегиями запущен, и если это уровень root, то он копирует себя в каталог /var/log/syslogd.

Затем он создаёт системную (systemd) службу syslogd и выполняет команду на её запуск и удаляет исходный исполняемый файл вместе с процессом.

Далее бэкдор пытается настроить команду crontab, чтобы перезапускаться после перезагрузок (для этого служит вспомогательный файл cron.txt в рабочем каталоге). Если список crontab успешно обновляется, то удаляется и файл cron.txt.

17 мгновений весны

Эксперты Symantec установили, что Gomir способен выполнять 17 операций, практически идентичных тем, что выполняет GoBear: среди них - запуск произвольных shell-команд, создание произвольных файлов, зондирование сетевых эндпойнтов, сбор статистики о системе и структуре каталогов, запуск обратных прокси для удалённых соединений, вывод файлов из системы, и так далее.

Одна из команд предписывает системе дать один только ответ: «Не реализовано в Linux».

Аналитики Symantec отмечают, что атаки на цепочку поставок с помощью троянизированного программного обеспечения (ПО) или фальшивых установщиков - это на данный момент предпочитаемый злоумышленниками способ атак. Kimsuky очень тщательно подбирают, какие именно программы троянизировать, чтобы максимально увеличить шансы на заражение.

«Деятельность северокорейских кибергруппировок со временем, вероятно, войдёт в учебники по информационной безопасности, уже просто потому, что они демонстрируют как высокую активность, так и повышенную изобретательность», - считает Никита Павлов, эксперт по информационной безопасности компании SEQ.

По его словам, их деятельность всегда привлекает повышенное внимание, так что их атаки ещё и задокументированы намного лучше прочих. Эксперт добавил, что это также снижает эффективность усилий северокорейских APT-групп скрыть свою деятельность.

«Они постоянно оказываются «в лучах прожекторов», как бы ни пытались этого избежать», - уточнил Никита Павлов.

Роман Георгиев

Короткая ссылка