Эксперт Trend Micro обнаружил руткит для Linux

Эксперт Trend Micro обнаружил руткит для Linux

Исследователи компании Trend Micro предупреждают о появлении руткита под Linux, распространяющийся через ручные установки и нацеленный на платформы Intel и ARM. Этот руткит предоставляет злоумышленникам полный контроль над зараженными устройствами.

Именуемый Umbreon, вредонос получил свое имя от одного из покемонов, который известен тем, что скрывается в темноте. Эксперты говорят, что эта характеристика вполне подходит данному руткиту. По словам Trend Micro, развитие этой вредоносной программы началось в начале 2015 года, хотя ее автор действует еще с 2013.

Руткит работает Umbreon работает в различных режимах: в режиме пользователя (кольцо 3), в режиме ядра (кольцо 0), гипервизор (кольцо -1), в режиме системного управления (кольцо -2). По мнению исследователей, чем ниже уровень, на котором работает руткит, тем сложнее его обнаружить и обезвредить.

«Несмотря на то, что в режиме пользователя (кольцо 3) руткит не устанавливает объекты ядра, из этого режима вполне возможно шпионить за пользователем и влиять на то, что происходит в операционной системе» - объясняет старший научный исследователь Trend Micro Фернандо Мерсез (Fernando Mercês).

Umbreon был успешно протестирован на трех различных платформах: x86, x86-64 и ARM (Raspberry Pi), результаты показали, что зловред портативный. Кроме того, как отмечает исследователь, написан руткит на чистом C и имеет некоторые дополнительные компоненты, написанные на Python и Bash.

Во время установки вредонос создает пользователя Linux со специальным GID (идентификатор группы), обеспечивая доступ к зараженной системе. Злоумышленник может получить доступ к учетной записи с помощью подключаемых модулей аутентификации, включая SSH. Созданный Umbreon пользователь не отображается в /etc/passwd по причине того, что функции libc перехватываются вредоносом.

Umbreon также включает в себя бэкдор под названием Espeon, тоже написанный на C. Он устанавливает связь со злоумышленником, минуя брандмауэры. Руткит может замаскировать себя с помощью утилиты Linux Strace. Таким образом ему удается обойти инструменты анализа трафика. Эксперт утверждает, что операция по удалению этого руткита может представлять некоторую сложность и привести систему в нерабочее состояние.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Принц Саудовской Аравии взломал главу Amazon через WhatsApp

Мухаммед ибн Салман Аль Сауд, наследный принц Саудовской Аравии, смог взломать генерального директора и основателя Amazon Джеффа Безоса. Согласно результатам расследования, инцидент датируется маем 2018 года.

Издание The Guardian, ссылаясь на источники, утверждает, что целью атаки был некая информация, хранящаяся на личном смартфоне Безоса.

Согласно опубликованному отчёту, Аль Сауд и Безос вели неформальную переписку в WhatsApp, когда от принца внезапно пришёл странный видеофайл.

Именно после получения этого файла устройство главы Amazon оказалось взломано, а хранящиеся на нем данные утекли в неизвестном направлении.

По мнению специалистов, отправленное видео эксплуатировало выявленную в мае 2018 года уязвимость в WhatsApp, что позволило установить на устройство шпионскую программу Pegasus.

Посольство Саудовской Аравии в США отвергло всяческие обвинения принца во взломе смартфона Безоса, опубликовав следующий твит:

«Недавние заголовки в СМИ, утверждающее, что принц стоит за взломом телефона господина Безоса, не соответствуют действительности. Мы требуем провести расследование в отношении этих обвинений».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru