נחשפה נוזקה הפוגעת במערכות לינוקס במתקפות ממוקדות

הנוזקה מלווה בערכת רוטקיט במטרה להתבסס באופן עמוק במכשירים פגיעים, כך לפי חוקרי ESET

נוזקה חדשה שתוקפת מערכות Linux

חוקרי ESET חשפו משפחת נוזקות חדשה, בשם FontOnlake, אשר משתמשת במודולים מותאמים ומעוצבים היטב – המכוונים למערכות הפעלה מסוג לינוקס.

לדברי החוקרים, המודולים אשר משמשים את הנוזקה נמצאים תחת פיתוח מתמיד ומספקים גישה מרחוק למפעילים, שאוספים מידע ומשמשים כשרת פרוקסי.

דגימות של הנוזקה הופיעו במאגר "וירוס טוטאל" כבר במאי 2020, אך שרתי השליטה והבקרה הייחודיים המקושרים לקבצים אלו כבר אינם פעילים. החוקרים הסבירו, כי הדבר מצביע על כך שהם נוטרלו בעקבות חשיפתם בפומבי. כדי להסתיר את קיומה, הנוזקה תמיד מלווה בערכת רוטקיט. בהיבט הגיאוגרפי, מערכות לינוקס אשר מהוות מטרה למתקפה הממוקדת ממוקמים, ככל הנראה, בדרום מזרח אסיה.

החוקרים ציינו, כי "העובדה שכל הדגימות משתמשות בכתובות שרתי C&C (שליטה ובקרה) ופורטים (מבואות) ייחודיים, מצביעה על כך, שהמפעילים זהירים במיוחד ופועלים במטרה שלא להיחשף. בנוסף, המפעילים עושים שימוש בשפות התכנות ++C/C ובכמה ספריות צד שלישי, כמו Boost ו-Protobuf.

לפי ESET, "משפחת הנוזקות FontOnLake מתוחכמת ועושה שימוש בקבצים בינאריים לגיטימיים ומותאמים אישית, במטרה לטעון רכיבים נוספים של הנוזקה". החוקרים הוסיפו, כי "בין המרכיבים המוכרים של הנוזקה נמצאות אפליקציות לגיטימיות שהותאמו והפכו לסוסים טרויאניים, המשמשים לטעינת דלתות אחוריות, ערכות root ואיסוף מידע. כך, שלוש דלתות אחוריות חוברו לנוזקה, כולן כתובות בשפת ++C והן יוצרות חיבור לשרת C&C להזרמת נתונים. בנוסף, הן שולחות פקודות כל פרק זמן מסוים, במטרה לשמור על החיבור הזה פעיל".

החוקרים מציינים, כי "חברות ואנשים שרוצים להגן על תחנות הקצה או שרתי הלינוקס מפני האיום צריכים להשתמש במוצר אבטחה רב שכבתי ובגרסה עדכנית".

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. אלי ויסברט

    כתבה חשובה למשתמשי לינוקס.
    הערה חשובה הרוטקיטס שהתגלו מתייחסים לקרנלים ישנים בני 8 שנים גרסאות 2.6.32 ל-3.10.0 למעבדי אינטל 64.

אירועים קרובים