Fokirtor: linuksowy trojan w technologii stealth wykrada dane z serwerów

Choć większość zagrożeń zgłaszanych w biuletynach bezpieczeństwadotyczy Windows, to przecież i Linux nie jest odporny na złośliweoprogramowanie. A że system ten jest często wykorzystywany dozastosowań serwerowych, to i konsekwencje działania linuksowychszkodników mogą okazać się bardzo poważne. Przekonują o tympracownicy Symanteca, donosząc o niespotykanym wcześniej zagrożeniudla systemów spod znaku Pingwina, który stosując bardzo sprytnetechniki maskowania, służy do wykradania danych z zainfekowanychmaszyn.Zaczęło się w maju, gdy jedna z dużych firm hostingowych wykryła,że napastnicy uzyskali dostęp do jej systemów administracyjnych,próbując pozyskać dane osobowe użytkowników, ich e-maile i hasła.Szczęśliwie zamiast haseł w bazie były tylko posolone skróty, ainformacje szczególnie wrażliwe, takie jak numery kart kredytowych,były zaszyfrowane, więc wyciek nie okazał się szczególnie bolesny.Uwagę badaczy zwrócił jednak poziom zaawansowania ataku, dowodzący,że dla zaangażowanego napastnika coraz mniej rzeczy jestniemożliwych.[img=spiderware]Napastnicy zdawali sobie sprawę, że atak na dużą firmę hostingowąto zadanie trudniejsze, niż atak na inne instytucje. Środowiska ITtego typu przedsiębiorstw są zwykle znacznie lepiej zabezpieczone,niż w firmach z innych branż. Wykrycie jakiegoś podejrzanego ruchusieciowego czy nieznanych wcześniej procesów szybko obudziłobyzainteresowanie administratorów. Dlatego też przygotowali trojana(ochrzczonego przez Symanteca jako Linux.Fokirtor), który jedynieumieszczał furtkę w procesach takich jak SSH.Trojan, choć umożliwiał zdalne uruchamianie kodu, nie otwierałwłasnych gniazdek sieciowych, ani też nie próbował się łączyć zserwerami dowodzenia i kontroli. Wstrzyknięty przez niego w SSH kodmonitorował ruch sieciowy, czekając na określoną sekwencję znaków.Gdy ją napotkał, przetwarzał kolejne pakiety, wydobywając z nichzaszyfrowane i zakodowane polecenia, dla zewnętrznego obserwatorawyglądające na przypadkowe ciągi znaków, np. :!;.UKJP9NP2PAO4.Dzięki temu napastnik mógł łączyć się z serweremi po SSH,osadzając tego typu komendy w normalnym, nie budzącym podejrzeń ruchusieciowym. W ten sam sposób otrzymywał zaszyfrowane dane zwrotne zwykonania jego komend na serwerze.Według ekspertów Symanteca, skala ataku nie jest duża –odnotowano do tej pory kilkadziesiąt zarażonych serwerów. Trzebajednak pamiętać, że i Symantec AntiVirus for Linux, narzędzie, któretrojana tego wykrywa, nie jest wśród administratorów linuksowychmaszyn szczególnie popularne. W rzeczywistości Fokirtor może więcwystępować częściej. Aby wykryć jego obecność w systemie, należyśledzić ruch sieciowy pod kątem wystąpienia łańcucha znaków :!;.,albo też wykonać zrzut procesu demona SSH, wyszukując w nimokreślonychpar klucz-wartość.