Автор: 
Хакеры атакуют устаревшие системы Linux с помощью сложных вредоносных программ, которые, как считается, были разработаны киберпреступниками при поддержке китайского государства.
Вредоносная программа под брендом RedXOR кодирует свои сетевые данные по схеме, основанной на логической операции XOR, используемой в криптографии, и компилируется с помощью устаревшего компилятора в более ранней версии Red Hat Enterprise Linux (RHEL).
Это, по мнению исследователей Intezer, предполагает, что RedXOR используется в целевых атаках на устаревшие системы.
Его операторы развертывают RedXOR для проникновения в конечные точки и системы Linux с целью просмотра файлов, кражи данных, загрузки или выгрузки данных, а также для туннелирования сетевого трафика. Бэкдор также трудно идентифицировать, поскольку он маскируется под демона polkit, который представляет собой фоновый процесс для управления компонентом, который контролирует общесистемные привилегии.
После установки вредоносная программа перемещает свои двоичные файлы в скрытую папку под названием «po1kitd.thumb», чтобы замаскироваться под демона polkit. Затем вредоносная программа связывается с сервером управления и контроля под видом HTTP-трафика, откуда затем отправляются инструкции.
Для создания бэкдора хакеры использовали компилятор Red Hat 4.4.7 GNU Compiler Collection (GCC), который является GCC по умолчанию для RHEL 6. Впервые он был выпущен в 2010 году.
Основная поддержка RHEL 6 закончилась только недавно, в ноябре 2020 года, а это означает, что ряд серверов и конечных точек, вероятно, все еще работают с RHEL 6. Однако Intezer не раскрывает количество или характер выявленных жертв. По данным Enlyft, около 50 000 компаний используют установки RHEL.
Хотя обнаружение семейств вредоносных программ Linux в последнее время увеличилось, бэкдоры, приписываемые продвинутым группам угроз, таким как злоумышленники, поддерживаемые государством, встречаются гораздо реже.
Однако исследователи уверены в своей атрибуции, выявив 11 отличительных черт между RedXOR и бэкдором PWNLNX, а также параллели с ботнетами XOR.DDOS и Groundhog – все они связаны с хакерами, поддерживаемыми государством Китая.
Обнаруженные образцы были также загружены из Индонезии и Тайваня, стран, которые, как известно, являются целью поддерживаемых государством хакеров, действующих из Китая.
А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X
