ESET odkril 21 kosov malwara za Linux
Matej Huš
12. dec 2018 ob 11:23:51
Že dolgo časa vemo, da Linux ni imun na zlonamerno programsko opremo, a je zanj vseeno toliko manj razširjena, da pogosto pozabimo nanjo. To se lahko tudi maščuje, saj se na Linuxu precej manj pozornosti posveča malwaru kakor na drugih sistemih. Strokovnjaki iz podjetja ESET so vnovič opozorili, da na to ne smemo povsem pozabiti. To pot poročajo o 21 "novih" družinah malwara, ki se širi po Linuxu. V vseh primerih gre za trojansko verzijo odjemalca za OpenSSH.
V ESET-u pojasnjujejo, da 18 izmed 21 opisanih družin vsebuje module za krajo prijavnih podatkov (gesla, ključi), 17 pa jih vsebuje stranska vrata za oddaljen dostop. Koncept napada prek OpenSSH ni nov, saj so se stranska vrata in malware zanje začeli širiti že pred tremi leti. Eden prvih je botnet Windigo s stranskimi vrati Ebury. Pri preiskavi tega malwara je ESET ugotovil, da ima Ebury mehanizem za iskanje drugih stranskih vrat v OpenSSH-ju. Ta išče znane podpise vsaj 40 datotek, ki ustrezajo stranskim vratom konkurenčnih hekerskih skupin. Ko je ESET odkril ta mehanizem, so ugotovili, da nimajo vzorcev, ki ustrezajo tem 40 podpisom. Hekerji so imeli bistveno boljši vpogled in več informacij o delovanju drugih hekerskih skupin kakor tisti, ki jih preganjajo. Zato so zadnja tri leta iskali te datoteke in jih sedaj tudi identificirali.
V poročilu ni natančno navedeno, kako so zlikovci namestili te odjemalce na okužene računalnike. Za zdaj kaže, da gre za klasične metode. Torej bodisi za napad (s surovo močjo ali slovarjem) za ugibanje gesel SSH ali za izrabo ranljivosti v programski opremi, ki teče na Linuxu (spletni strežnik, aplikacije, CMS-ji itd.). Če ima takšna programska oprema administratorski dostop (česar ne bi smela) ali če napadalci izvedejo eskalacijo privilegijev, lahko pridobijo dostop do sistema.