Linux все по-често е цел на хакерите, тъй като управлява

Linux все по-често е цел на хакерите, защото ръководи работата на сериозни системи
(снимка: CC0 Public Domain)

Нов злоумишлен програмен продукт, наименуван Lightning Framework, е ориентиран към компютърни системи, работещи под ръководство на Linux . Специалистите по сигурност от Intezer дефинират опасността като швейцарско ножче, поради модулната ѝ конструкция.

Lightning може да конфигурира доста руткитове и добавки в компрометираната система, както и да отвори достъп до нея посредством SSH. Основните съставни елементи на този фреймуърк са зареждащият модул и ядрото, чиято функционалност е разширена с нужните добавки. Някои от тях, съгласно специалистите на Intezer, са стратегии с отворен код.

Зареждащият модул задейства ядрото и, както подсказва името му, зарежда модули от така наречен „ трети страни ”. Ядрото, от своя страна, комуникира с контролните сървъри и извършва приставки.
още по темата
Експертите на Intezer разясняват, че злонамереният програмен продукт маскира своите съставни елементи с имена, които са неразличими от имената на законни софтуерни съставни елементи. Например, зареждащият модул се пробва да имитира Seahorse – управител на пароли и крипто-ключове за GNOME (изпълнимият файл kbioset се зарежда в директорията /usr/Lib64/seahorses/).

Това обаче надалеч не са единствените техники за обезпечаване на секретност. Злонамереният програмен продукт непрекъснато трансформира часа и датата на файловете, които основава, с цел да подхождат на тези на законните приложения whoami, find или su. Идентификационният номер на процеса (ProcessID – PIT) е прикрит, както и мрежовите портове, употребявани от конфигурираните руткитове.

Данните на контролния сървър се съхраняват в полиморфни конфигурационни файлове, неповторими за всяка апаратура на фреймуърка. „ Това значи, че файловете с настройки не могат да бъдат открити посредством способи като хешове. Ключовете са вградени при започване на криптирания файл ”, се споделя в проучването на Intezer.

Но специалистите признават, че към момента не са виждали Lightning Framework „ в деяние ” – в действителни офанзиви. Те също по този начин не са съумели да открият всички приставки, връзки към които попадат в кода на злонамерения програмен продукт. В същото време откривателите не прецизират по какъв начин са съумели да прихванат самия фреймуърк.

Високопроизводителните Linux системи се употребяват нормално от огромни предприятия, включително с сериозна инфраструктура, облачни снабдители и други организации, офанзивите против които могат да съставляват нараснала опасност. Интересът на киберпрестъпниците към Linux непрестанно пораства и надлежно се усилва броят на комплицираните злонамерени стратегии за сходни системи, образец за което е Lightning Framework.