FontOnLake: убойный коктейль из бэкдора с руткитом для Linux

FontOnLake: убойный коктейль из бэкдора с руткитом для Linux

Эксперты ESET предупреждают о растущей угрозе со стороны модульных Linux-зловредов, объединенных в семейство с кодовым именем FontOnLake. Набор вредоносных инструментов, включающий бэкдор и руткит режима ядра, находится в стадии активной разработки; создатели часто его апгрейдят, добавляя новые функции.

Судя по датам загрузки образцов FontOnLake на VirusTotal, этот профессионально исполненный тулкит впервые пустили в ход в мае этого года. Местоположение авторов находок и прописка C2-серверов вредоноса говорят о том, что круг интересов злоумышленников пока ограничен Юго-Восточной Азией.

Операторы FontOnLake (в Avast и Lacework Labs его идентифицируют как HCRootkit) прилагают все усилия, чтобы скрыть вредоносную активность. Атаки проводятся точечно; для загрузки основных модулей используются модификации стандартных утилит Linux. Каждой версии тулкита назначается свой командный сервер, в случае обнаружения его быстро заменяют; выбор портов для подключения к С2 необычен.

Выявленные компоненты FontOnLake исследователи разделили на три группы:

  • троянизированные приложения — легитимные бинарные коды, адаптированные под загрузку основных модулей зловреда, сбор данных и выполнение других вредоносных действий;
  • бэкдоры — написанные на C++ компоненты режима пользователя, обеспечивающие связь с оператором; могут также создавать, модифицировать и удалять файлы, работать как прокси, выполнять шелл-команды и Python-скрипты;
  • руткиты — основанные на opensource-проекте Suterusu компоненты режима ядра, обеспечивающие маскировку и постоянное присутствие в системе; могут также выполнять проброс портов и загружать обновления или резервные бэкдоры.  

Все перечисленные компоненты взаимодействуют друг с другом через виртуальный файл, создаваемый руткитом. Чтение и запись в этот файл осуществляются по команде с C2-сервера.

 

Способ доставки FontOnLake на Linux-сервер установить не удалось. Конечная цель злоумышленников тоже пока неизвестна. С полнотекстовой версией отчета ESET можно ознакомиться на сайте компании (PDF).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Основатель Acronis: Вам стоит опасаться собственного пылесоса

Сергей Белоусов (Serg Bell), основатель компании Acronis, порассуждал на тему «умных» устройств, которые могут представлять опасность в быту. Разговор с изданием The Register коснулся подключённых к Сети пылесосов, которых, мнению специалиста, также следует опасаться.

«Вам стоит опасаться собственного пылесоса — он, вероятнее всего, сделан в Китае», — заявил Белоусов.

Стоит отметить, что речь идёт, само собой, о подключённых к интернету устройствах, которые оснащены микрофоном, камерой и даже картой вашей квартиры или дома. Те же пылесосы собирают конфиденциальные данные, что делается якобы ради вашего же удобства, однако у вас нет возможности убедиться в том, как именно эта информация используется.

«Не каждый задумывается над этим, тем не менее это существенные риски для конфиденциальности и безопасности пользователя», — объясняет основатель Acronis.

Белоусов также отметил, что у людей всегда есть недооценка влияния современных «умных» устройств на конфиденциальность и безопасность. В ходе беседы эксперт обратил внимание собеседника на ряд устройств в комнате, которые уже сами по себе являются компьютерами: телевизор, телефон, часы и т. п.

Поскольку такие девайсы находятся дома у пользователя, его посещает ложное чувство безопасности и отсутствия связанных с ними рисков. Что касается колоссальных объёмов собираемых данных — это не проблема для машинного обучения, считает, Белоусов.

Основатель Acronis также счёл хайп вокруг «метавселенной» не совсем обоснованным, поскольку мы уже живём в ней.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru