Бэкдор Fokirtor для Linux может скрываться в SSH


SymantecСпециалистами по безопасности компании Symantec проводилось расследование инцидента безопасности, которое произошло во внутренних сетях крупного интернет-провайдера в мае текущего года. Тогда злоумышленники сумели скомпрометировать административные компьютеры и получить доступ к конфиденциальным данным пользователей, их адресам электронной почты и паролям (в зашифрованном виде).

Специалисты предполагают, что хакерам удалось похитить также и ключи шифрования.

Злоумышленники осознавали, что компания достаточно хорошо защищена, поэтому решили маскировать свою активность. Для этих целей ими был разработан специальный бэкдор Fokirtor для Linux, основная функциональность которого скрываться в SSH и других процессах сервера.

При этом зловред не устанавливал соединение с C&C-сервером, а вместо этого, код бэкдора внедрялся в процесс SSH и проводил мониторинг сетевого трафика, осуществляя поиск специальной комбинации символов - «:!;.». Далее вредоносное приложение извлекало зашифрованные его разработчиками команды.