Программы под Linux используют для незаконного входа в корпоративные сети

Эксперты ESET выявили киберкампанию, в рамках которой вредоносные программы под Linux используются для создания устойчивой инфраструктуры доступа в чужие сети. Часть вредоносов представляют собой модификации легитимных утилит под Linux.

Скрытная природа

Компания ESET обнаружила очередную киберкампанию с использованием вредоносного ПО под Linux.

Руткит FontOnLake обеспечивает злоумышленникам удаленный доступ в скомпрометированные системы. Как утверждают исследователи, вредоносы — а это руткит и бэкдор — появились где-то весной 2020 г. и с тех пор непрерывно совершенствуются.

«Скрытная природа инструментария FontOnLake, продвинутый дизайн и низкая распространенность свидетельствуют о том, что эти программы предназначены для целевых атак, — говорит эксперт ESET Владислав Герцка (VladislavHrčka). — Для сбора данных и проведения других операций вредоносы этого семейства используют модификации изначально легитимных двоичных программ, с помощью которых загружаются дополнительные компоненты. Присутствие FontOnLake всегда прикрывается руткитом. Эти двоичные программы широко используются в системах Linux и могут дополнительно служить в качестве механизма сохранения присутствия для вредоноса».

Речь идет о троянизированных версиях легитимных утилит Linux, которые используются для загрузки руткитов на уровне ядра и бэкдоров с пользовательскими привилегиями. Все эти компоненты общаются друг с другом с помощью того, что специалисты назвали виртуальными файлами.

Видовое разнообразие

Бэкдор предназначен для мониторинга систем, секретного исполнения команд в сети и вывода реквизитов доступа к аккаунту.

Второй вариант бэкдора оснащен дополнительными функциями: он может использоваться как прокси-сервер, применяться для манипуляций с файлами, загрузки дополнительных файлов. Есть и третий вариант: обладая всеми функциями первого и второго, он способен запускать скрипты на Python и shell-команды.

Эксперты ESET указывают, что нашли две разные версии Linux-руткита, обе из которых основаны на открытом проекте Suterusu и в значительной степени дублируют функциональность друг друга — в том, что касается сокрытия процессов, файлов, сетевых соединений и самих себя. Они также могут осуществлять операции с файлами, и извлекать и запускать бэкдор.

Каким именно образом происходит первичное заражение, остается неизвестно: по словам специалистов ESET, злоумышленники очень тщательно подходят к сокрытию следов. Известно, что используются разные контрольные серверы с постоянно меняющимися нестандартными портами. Ранее выявленные С2-серверы к настоящему моменту уже неактивны, что, скорее всего, означает, что злоумышленники старательно отслеживают любые упоминания своей кампании.

Владислав Герцка отметил, что большая часть функций выявленных вредоносов нацелена на обеспечение скрытности и длительного сохранения удаленного доступа. Это может означать, считает эксперт, что бэкдор и руткит предназначены главным образом для поддержания инфраструктуры для каких-то других возможных атак.

«В отсутствие информации о том, кто стоит за кампанией, можно лишь предполагать, для чего нужна эта инфраструктура. Такие вредоносные программы могут применяться коммерчески-мотивированными злоумышленниками для торговли доступом в скомпрометированные сети, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Впрочем, для осуществления длительной, но не слишком регулярной шпионской деятельности такие инструменты тоже вполне пригодны».