В утекшем архиве Equation Group обнаружен бэкдор для Unix-систем

Эксперты в области информационной безопасности продолжают исследовать архив, опубликованный группировкой The Shadow Brokers. Напомним, в августе нынешнего года хакеры взломали серверы группировки Equation Group, подозреваемой в связи с Агентством национальной безопасности США, и похитили ряд инструментов из ее арсенала, включая вредоносное ПО и эксплоиты.

В то время как многие специалисты фокусируются на поиске информации о потенциальных уязвимостях нулевого дня, некоторые инструменты остаются неисследованными. В частности, исследователи компании Vectra Networks обратили внимание на одно такое вредоносное ПО – троян удаленного доступа для Unix под названием NOPEN.

По словам экспертов, инструмент использовался для получения удаленного доступа к целевой системе и хищения данных. Все собранные данные отправлялись на управляющий сервер в зашифрованном виде (для шифрования использовался алгоритм RC6). После того, как необходимая информация оказывалась в руках злоумышленников, троян удалялся с системы.

Согласно анализу, NOPEN может работать на различных операционных системах, включая Linux, FreeBSD, SunOS, Solaris и HP-UX. Как утверждают эксперты, некоторые решения безопасности способны обнаружить NOPEN в сети, несмотря на использование алгоритма RC6 для маскировки трафика, генерируемого трояном.