Новый Linux-руткит Syslogk использует волшебные пакеты для запуска бэкдора

Екатерина Быстрова 14 Июня 2022 - 09:06

Домашние пользователи

...

Новый руткит для Linux, получивший имя “Syslogk“, используется злоумышленниками для сокрытия вредоносных процессов. Специально созданные «волшебные пакеты» (magic packets), фигурирующие в этих атаках, задействуются для пробуждения бэкдора в системе жертвы.

В настоящее время вредоносная программа находится в стадии доработки, а в её основу лёг старый руткит с открытым исходным кодом — Adore-Ng. Syslogk способен загружать свои модули в ядро Linux (поддерживаются версии 3.x), скрывать директории и сетевой трафик, а также загружать бэкдор “Rekoobe“.

При первом запуске в качестве модуля ядра Syslogk удаляет свою запись из списка установленных модулей, что помогает уйти от ручной проверки. Вредонос можно обнаружить лишь по интерфейсу в /proc:

Дополнительная функциональность позволяет руткиту скрывать директории, в которых содержатся вредоносные файлы; то же самое происходит с процессами и трафиком. Помимо этого, зловред может удалённо запускать или останавливать пейлоады.

Специалисты антивирусной компании Avast отметили одного из скрытых вредоносов, который используется в этих кампаниях — бэкдор Rekoobe. Фактически он находится «в спячке» на устройстве жертвы и пробуждается только после того, как руткит получит «волшебные пакеты» от операторов.

Для этого Syslogk выискивает специально созданные TCP-пакеты, содержащие жёстко заданный ключ и конкретные значения поля “Reserved“, число “Source Port“, а также совпадения “Source Port“ и “Source Address“. После получения нужного «волшебного пакета» руткит либо остановит, либо запустит бэкдор.

Напомним, что в прошлом месяце мы рассказывали о другом бэкдоре — BPFdoor, который пять лет атаковал Linux и Solaris, оставаясь незамеченным. Уже в июне эксперты рассказали ещё об одном Linux-вредоносе Symbiote, инфицирующем запущенные процессы.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Июня 2026 - 09:16

Соответствие законодательству РФ Общее Защита персональных данных Соответствие требованиям регуляторов

152-ФЗ и нейросети: какие данные нельзя бездумно отдавать ChatGPT

Пока компании массово подключают ChatGPT, Claude, DeepSeek и другие LLM к работе с договорами, тикетами, CRM и корпоративной почтой, многие забывают об одной неприятной детали: вместе с документами в нейросети часто отправляются персональные данные. А значит, в игру вступает 152-ФЗ.

Пользователь Хабра под ником lnk опубликовал подробный разбор того, как российское законодательство смотрит на использование ИИ при обработке данных клиентов, сотрудников и контрагентов.

По его словам, проблема возникает гораздо раньше, чем многие думают. Персональными данными могут считаться не только ФИО, телефоны и паспортные данные, но и ИНН физлица, который сам по себе позволяет идентифицировать человека.

Даже данные из открытых источников вроде ЕГРЮЛ не перестают быть персональными данными только потому, что они опубликованы в интернете.

Автор обращает внимание, что отправка таких данных в зарубежные ИИ-сервисы автоматически поднимает вопросы трансграничной передачи данных. При этом главная проблема, по его мнению, даже не уведомления Роскомнадзора, а отсутствие договора поручения на обработку персональных данных с большинством зарубежных поставщиков LLM.

В качестве относительно безопасных вариантов он называет использование российских облачных платформ с соответствующими договорами либо развёртывание моделей в собственном контуре компании. Ещё один путь — предварительное обезличивание данных перед отправкой в модель.

Отдельно автор подчёркивает, что простая замена имён на идентификаторы вроде user_123 не всегда решает проблему. Если связь между токеном и человеком можно восстановить, такие данные всё ещё могут считаться персональными.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!