Вредонос Lightning Framework сравнили со швейцарским ножом

Модульная архитектура нового вредоносного ПО для Linux, известного под названием Lightning Framework, настолько впечатлила аналитиков из компании Intezer, что они сравнили малварь со швейцарским ножом. Важным отличием вредоноса назвали его способность самостоятельно устанавливать руткиты и бэкдоры.

Специалист  Intezer Райан Робинсон отметил, что фреймворк обладает как активными, так и пассивными возможностями для связи со своим создателем. В частности, он способен открывать на зараженном устройстве SSH, а также использовать  полиморфную и гибкую конфигурацию для C&C.

Исследователи выразили мнение, что в настоящий атаках малварь пока не использовали. Однако ее дополнительные возможности аналитикам еще предстоит изучить.

Основным компонентом ПО является загрузчик (kbioset). Он ставит на устройство модуль (kkdmflush). Последний устанавливает все необходимые связи с управляющим, а также получает команды на запуск различных плагинов.

Свои следы на устройстве малварь тщательно скрывает. Один из вариантов маскировки — под менеджер паролей и ключей Seahorse. Для закрепления в системе вредоносное ПО при каждом включении запускает скрипт с именем elastisearch в /etc/rc.d/init.d/. С его помощью повторяется запуск загрузчика, в результате чего раз за разом происходит заражение системы.