0 |
Symantec обнаружила новый троян Linux.Fokirtor для ОС Linux, с помощью которого в мае 2013 г. была взломана сеть крупного неназванного хостинг-провайдера. Хакеры получили доступ к логинам, паролям, электронным адресам и номерам счетов клиентов.
Несмотря на надежную защиту сети провайдера, этот троян смог открыть бэкдор, через который хакеры получили контроль над удаленной системой. После внедрения, Linux.Fokirtor передал злоумышленникам имя хоста, IP-адрес, порт, пароль, ключ SSH и логин. Получив указанные реквизиты, они смогли отправить на удаленный сервер легитимные запросы на выполнение различных команд, используя протокол SSH. Чтобы не быть обнаруженными, они зашифровывали команды и помещали их в привычный не вызывающий подозрений трафик.
Находясь на удаленном сервере, троян выполнял непрерывный мониторинг трафика, приходящего по протоколу SSH, для поиска определенной последовательности символов — «:!;.». После обнаружения этой ключевой фразы, троян переходил в режим приема команд, зашифрованных с помощью технологий Blowfish и Base64.
Таким образом атакующие могли формировать обычные сетевые запросы через SSH или другие протоколы и легко добавлять секретную последовательность команд, избегая обнаружения. Команды исполнялись сервером и их результаты отсылались обратно хакерам. Так они заставили сервер отправить персональные данные клиентов провайдера.
Специалисты Symantec отметили, что это была самая изощренная атака в их практике и она сильно выбивается из ряда регулярных атак, которые происходят ежедневно.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |