Linux-бэкдор PamDOORa превращает PAM в скрытую дверь для SSH-доступа

Linux-бэкдор PamDOORa превращает PAM в скрытую дверь для SSH-доступа

Linux-бэкдор PamDOORa превращает PAM в скрытую дверь для SSH-доступа

Исследователи из Flare.io рассказали о новом Linux-бэкдоре PamDOORa, который продают на русскоязычном киберпреступном форуме Rehub. Автор под ником darkworm сначала просил за инструмент 1600 долларов, но позже снизил цену до 900 долларов.

PamDOORa — это PAM-бэкдор, то есть вредоносный модуль для системы аутентификации Linux. PAM используется в Unix- и Linux-системах для подключения разных механизмов входа: паролей, ключей, биометрии и других вариантов проверки пользователя.

Проблема в том, что PAM-модули обычно работают с высокими привилегиями. Если злоумышленник уже получил root-доступ и установил вредоносный модуль, он может закрепиться в системе надолго.

PamDOORa предназначен именно для постэксплуатации. Сначала атакующему нужно попасть на сервер другим способом, а затем он устанавливает модуль, чтобы сохранить доступ. После этого можно входить по SSH с помощью специального пароля и заданной комбинации TCP-порта.

 

Но этим функциональность не ограничивается. Бэкдор также может перехватывать учётные данные легитимных пользователей, которые проходят аутентификацию через заражённую систему. Иными словами, каждый нормальный вход на сервер может превращаться в источник новых логинов и паролей для атакующего.

Отдельно исследователи отмечают возможности антианализа PamDOORa. Инструмент умеет вмешиваться в журналы аутентификации и удалять следы вредоносной активности, чтобы администратору было сложнее заметить подозрительные входы.

Пока нет подтверждений, что PamDOORa уже применялся в реальных атаках. Но сам факт продажи такого инструмента показывает, что Linux-серверы всё чаще становятся целью не только через уязвимости, но и через механизмы долгосрочного скрытого доступа.

По оценке Flare.io, PamDOORa выглядит более зрелым инструментом, чем обычные публичные бэкдоры для PAM. В нём собраны перехват учётных данных, скрытый SSH-доступ, зачистка логов, антиотладка и сетевые триггеры.

Минцифры: плату за иностранный интернет-трафик в России не обсуждают

В Минцифры заявили, что вопрос о введении отдельной платы за иностранный интернет-трафик в России не рассматривается. Об этом сообщил замглавы министерства Иван Лебедев на заседании Госдумы.

«Не рассматривается плата за иностранный трафик», — сказал Лебедев, отвечая на вопрос депутата КПРФ Олега Смолина.

Последний поинтересовался, могут ли в стране ввести отдельный платеж за доступ к зарубежному сегменту интернета.

Иными словами, платить сверху за сам факт похода в иностранный интернет пока не предлагают. По крайней мере, официально такой сценарий сейчас отрицают.

Тема всплыла на фоне обсуждений вокруг VPN. Ранее сообщалось, что в России могут рассмотреть плату за использование VPN-сервисов, а цифровые платформы якобы перестанут пускать пользователей, которые заходят через средства обхода блокировок.

Позже глава Минцифры Максут Шадаев написал в отраслевом чате «Мы ИТ» в МАКС, что перед министерством стоит задача снизить использование VPN-сервисов в России.

На этом фоне вопрос о платном иностранном трафике выглядел как логичное продолжение тревожной цепочки: сначала разговоры о VPN, потом — опасения, что зарубежный интернет могут превратить в отдельную платную опцию. Но в Минцифры эту идею сейчас отсекают.

Так что на данный момент расклад такой: отдельную плату за иностранный трафик не готовят, но тема ограничения и снижения использования VPN явно остаётся в повестке. Пользователи могут выдохнуть, но, пожалуй, пока не слишком расслабляться.

На прошлой неделе мы сообщали, что 47% россиян не готовы платить за зарубежный интернет, 28% уйдут в VPN.

RSS: Новости на портале Anti-Malware.ru