Złośliwy Acrobat nastraszył użytkowników Archa. Tak się robi malware na Linuksie

Strona główna Aktualności

O autorze

Użytkownicy wolnych systemów operacyjnych żyją najczęściej w błogim poczuciu bezpieczeństwa, przekonani że malware to coś, co zdarza się tylko w świecie komercyjnego oprogramowania, pełnego luk i instalowanych z wątpliwych źródeł pirackich kopii. Tym większy niepokój w w linuksowym światku wywołało odkrycie złośliwego oprogramowania w repozytoriach Arch Linuksa, wykorzystywanych też przez takie dystrybucje jak Manjaro czy Antergos. I to co najgorsze, złośliwego oprogramowania w całkiem popularnym pakiecie, zawierającym czytnik PDF Acrobat Reader.

AUR (Arch User Repository) to jedna z największych zalet Arch Linuksa i innych bazujących na nim dystrybucji. Jest to katalog skryptów instalacyjnych, pozwalających łatwo zainstalować praktycznie dowolne oprogramowanie dostępne na Linuksa, w tym także oprogramowanie własnościowe, którego w oficjalnych repozytoriach nie znajdziemy. Takie skrypty instalacyjne tworzone są przez samych użytkowników i przez nich rozwijane. Zawierają niezbędne dla instalacji dane, potrafią sterować kompilacją ze źródeł, oczywiście też proszą o uprawnienia roota.

Wśród ponad 47 tysięcy skryptów instalacyjnych dostępnych w AUR od lat znajduje się skrypt instalacyjny acroread. Służy on instalowaniu porzuconego przez Adobe linuksowego wydania czytnika PDF-ów Acrobat Reader. Ostatnia jego wersja 9.5.5 ma już ponad 5 lat i szczerze mówiąc, jest to bardzo miernej jakości narzędzie. Niestety jednak dla wielu użytkowników niezbędne, szczególnie w Polsce – bez pakietu acroread możemy zapomnieć o wypełnieniu zeznania podatkowego za pomocą pakietu e-deklaracje. Nic więc dziwnego, że pakiet acroread był wysoko w AUR oceniany, w popularności dorównując takim pakietom jak Firefox ESR, środowisko uruchamiania aplikacji windowsowych CrossOver czy portfel kryptowaluty Monero.

Acroread był jednak pakietem od lat już porzuconym i nierozwijanym, coraz gorzej budującym się na współczesnych wersjach Archa. Porzucone pakiety każdy może zaś przejąć i zadbać o ich działanie. Zdecydowano się na to aby uniknąć sytuacji, w której AUR stanie się pełen zapomnianych i niedziałających już pakietów. Nikt chyba wówczas nie myślał, jakie to niesie ze sobą zagrożenie.

W ostatnią sobotę ktoś używający nicka xeactor przejął pakiet acroread i zmienił jego skrypt instalacyjny. Dodał do niego polecenie pobrania z serwisu ptpb.pw pliku o nazwie ~x i jego uruchomienia – oczywiście z uprawnieniami administratora nadanymi przez użytkownika.

Uruchomiony instalacją acroreada plik ~x modyfikował ustawienia systemowego demona systemd, pobierał i uruchamial kolejny plik o nazwie ~u, oraz ustawiał systemowy timer, mający aktywować ~u co sześć minut.

Samo ~u było po prostu skryptem szpiegowskim. Gromadziło informacje o zakażonym systemie, przesyłając je na konto serwisu Pastebin kontrolowane przez napastnika. Były tam identyfikator, dane o procesorze, lista zainstalowanych pakietów, modułów systemd i wersja linuksowego kernela. Tak jakby napastnik zbierał informacje potrzebne mu do jakiejś przyszłej akcji.

Na szczęście opiekunowie Arch User Repository zauważyli, co się dzieje. Konto xeactora zostało zawieszone, wprowadzone przez niego zmiany cofnięte. Przy okazji odkryto też, że w podobny sposób napastnik przejął i uzłośliwił pakiety balz (wydajny kompresor plików) oraz minergate – koparkę kryptowalut z oprogramowaniem do prowadzenia kopalni.

To nie pierwszy przypadek, kiedy złośliwe oprogramowanie trafia do repozytoriów linuksowego oprogramowania. W maju tego roku w Ubuntu Store, repozytorium paczek w formacie snap pojawiła się gra logiczna 2048, zawierająca ukrytą koparkę kryptowalut. Drugi taki wypadek powinien być sygnałem alarmowym dla linuksowej społeczności. Tym razem nikomu nic się nie stało, ale trzeba będzie się zastanowić nad uszczelnieniem mechanizmów instalacji oprogramowania spoza ścisłych repozytoriów dystrybucji – by w przyszłości nikomu się nic nie stało. Rady w rodzaju „było nie korzystać z AUR-a” czy „tylko CentOS” nie są szczególnie pomocne – sukces Arch Linuksa wziął się właśnie z tej ogromnej dostępności przeróżnego oprogramowania, którego w oficjalnych repozytoriach innych dystrybucji ze świecą szukać.

© dobreprogramy

Komentarze