Обнаружен «самый изощренный» троян для Linux | Ofisp.org

Обнаружен «самый изощренный» троян для Linux

19 ноября 201319:19

Специалисты Symantec рассказали о трояне для Linux, который поразил их своей изощренностью. С его помощью хакеры создали собственный бэкдор, чтобы использовать протокол SSH для скрытого управления удаленным сервером. В результате были похищены персональные данные клиентов хостинг-провайдера.

Компания Symantec сообщила об обнаружении трояна для Linux, с помощью которого была взломана сеть крупного хостинг-провайдера. В результате взлома хакеры получили доступ к логинам, паролям, электронным адресам и номерам счетов клиентов.

Атакующие понимали, что сеть провайдера обладает надежной защитой. Поэтому перед ними встала задача проникнуть в нее, не генерируя подозрительный трафик, что могло привлечь внимание службы безопасности. В итоге они разработали и внедрили троян, который открывал собственный бэкдор («лазейку»), через которую хакеры могли бы управлять удаленной системой.

После внедрения троян Linux.Fokirtor передал в закодированном виде злоумышленникам имя хоста, IP-адрес, порт, пароль, ключ SSH и логин.

Получив указанные реквизиты, хакеры смогли отправлять на удаленный сервер вполне легитимные запросы на выполнение различных команд, используя стандартный протокол SSH. При этом, чтобы не быть обнаруженными, они зашифровывали команды и помещали их в привычный не вызывающий подозрений трафик.

Находясь на удаленном сервере, троян выполнял непрерывный мониторинг трафика, приходящего по протоколу SSH, с целью поиска последовательности символов «двоеточие, восклицательный знак, точка с запятой и точка» («:!;.»).

После обнаружения такой последовательности, служившей командой на чтение трафика, троян переходил в режим приема последующих данных и извлекал из них команды, зашифрованные с помощью технологий Blowfish и Base64. Сообщения, содержащие команды управления, могли выглядеть следующим образом: :!;.UKJP9NP2PAO4.

Таким образом атакующие могли формировать обычные сетевые запросы через SSH или другие протоколы и легко добавлять секретную последовательность команд, избегая обнаружения. Команды исполнялись сервером, и их результаты отсылались обратно хакерам. Среди команд были и те, которые заставили сервер отправить персональные данные клиентов провайдера.

Атака на хостинг-провайдера указанным методом была совершена в мае 2013 г. Название компании в Symantec не сообщают.

Специалисты Symantec отмечают, что на фоне регулярных атак, которые происходят ежедневно, указанная атака носит исключительный характер. В частности, она отличается своей изощренностью. Ранее в Symantec подобные атаки не встречали.

Подробнее: CNews.ru.

Похожие материалы

05.12.2013
Интернет – это достаточно распространенная система коммуникации и обмена информации в современном мире. Вариантов и способов подключения доступа к этой популярной сети достаточно много, одними из самых востребованных считаются спутниковое соединение, проводное и подключение через переносной модем. Спутниковый интернет известен своей одно-и двусторонней моделью обмена данными.
24.07.2013
Компания Eset, международный разработчик антивирусного ПО и эксперт в сфере киберпреступности и защиты от компьютерных угроз, обнародовала результаты масштабного опроса интернет-пользователей на тему взлома аккаунтов в социальных сетях. Опрос проводился в официальных сообществах российского представительства Eset. Согласно общим результатам опроса, 60% пользователей (около 2 тыс. опрошенных) как минимум однажды теряли доступ к аккаунтам в результате действий злоумышленников; из них у 25% профайлы были взломаны неоднократно.
22.10.2013
СНПЧ – это специальная система, которая способна к непрерывному контакту подачи чернил из специальных емкостей, их еще называют донорами, через тоненькие капилляры на головку печаточной машины именно струйного принтера.
15.11.2013
Об этом сообщил вице-президент – директор макрорегионального филиала «Урал» ОАО «Ростелеком» Антон Колпаков в ходе рабочей встречи с губернатором Пермского края Виктором Басаргиным. «Ростелеком» проводит модернизацию сетей связи в регионе, при этом используется технология GPON (Gigabit Passive Optical Networks), которая сегодня по праву считается одним из самых инновационных решений. Главное преимущество – это высокая скорость доступа - более 100 Мбит/с. «Оптические» сети «Ростелекома» сегодня работают в нескольких десятках городов Пермского края.
22.10.2016
Где поиграть в игровые автоматы в свободное от работы время? Все очень просто – прямо в сети Интернет есть немало ресурсов, которые предлагают своим посетителям такие онлайн-игры. Но лишь на немногих есть громадная коллекция игровых автоматов Вулкан - классика, которая никогда не становится скучной и никогда не надоедает. Сколько бы вы не ждали выхода новых игрушек, все равно хочется вернуться к старым добрым слотам.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв