Изощренный троян для Linux позволил взломать сеть крупного провайдера

Symantec обнаружила новый троян Linux.Fokirtor для ОС Linux, с помощью которого в мае 2013 г. была взломана сеть крупного неназванного хостинг-провайдера. Хакеры получили доступ к логинам, паролям, электронным адресам и номерам счетов клиентов.

Несмотря на надежную защиту сети провайдера, этот троян смог открыть бэкдор, через который хакеры получили контроль над удаленной системой. После внедрения, Linux.Fokirtor передал злоумышленникам имя хоста, IP-адрес, порт, пароль, ключ SSH и логин. Получив указанные реквизиты, они смогли отправить на удаленный сервер легитимные запросы на выполнение различных команд, используя протокол SSH. Чтобы не быть обнаруженными, они зашифровывали команды и помещали их в привычный не вызывающий подозрений трафик.

Находясь на удаленном сервере, троян выполнял непрерывный мониторинг трафика, приходящего по протоколу SSH, для поиска определенной последовательности символов — «:!;.». После обнаружения этой ключевой фразы, троян переходил в режим приема команд, зашифрованных с помощью технологий Blowfish и Base64.

Таким образом атакующие могли формировать обычные сетевые запросы через SSH или другие протоколы и легко добавлять секретную последовательность команд, избегая обнаружения. Команды исполнялись сервером и их результаты отсылались обратно хакерам. Так они заставили сервер отправить персональные данные клиентов провайдера.

Специалисты Symantec отметили, что это была самая изощренная атака в их практике и она сильно выбивается из ряда регулярных атак, которые происходят ежедневно.