Бэкдор Fokirtor для Linux использует протокол скрытой связи

image

Теги: Linux, Fokirtor, взлом

По данным Symantec, разработчики вируса маскировали трафик, внедряя его в легитимные процессы.

Как сообщают эксперты Symantec, в мае текущего года они вели расследование инцидента безопасности, произошедшего во внутренних сетях крупного интернет-провайдера (название компании не раскрывается). Злоумышленникам удалось скомпрометировать административные компьютеры и получить доступ к таким конфиденциальным данным, как имена пользователей, их адреса электронной почты и пароли (в зашифрованном виде).

«Финансовые данные клиентов провайдера также были доступны атакующим в зашифрованном виде. К сожалению нельзя исключить, что хакерам удалось похитить также и ключи шифрования», - поясняют в Symantec, подчеркивая, что в ходе расследования их удивила не цель, а сложность данной атаки.

По мнению исследователей, злоумышленники осознавали, что компания достаточно хорошо защищена и решили маскировать свою активность. Для этих целей они разработали специальный бэкдор Fokirtor для Linux, способный скрываться в SSH и других процессах сервера.

При этом вирус не устанавливал соединение с C&C-сервером; вместо этого, код бэкдора внедрялся в процесс SSH и проводил мониторинг сетевого трафика, осуществляя поиск специальной комбинации символов - «:!;.». Далее вредоносное приложение извлекало зашифрованные его разработчиками команды.

Ознакомиться с отчетом можно здесь

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus