С его помощью хакеры создали собственный бэкдор, чтобы использовать протокол SSH для скрытого управления удаленным сервером. В результате были похищены персональные данные клиентов хостинг-провайдера.
Компания Symantec сообщила об обнаружении трояна для Linux, с помощью которого была взломана сеть крупного хостинг-провайдера. В результате взлома хакеры получили доступ к логинам, паролям, электронным адресам и номерам счетов клиентов.
Атакующие понимали, что сеть провайдера обладает надежной защитой. Поэтому перед ними встала задача проникнуть в нее, не генерируя подозрительный трафик, что могло привлечь внимание службы безопасности. В итоге они разработали и внедрили троян, который открывал собственный бэкдор («лазейку»), через которую хакеры могли бы управлять удаленной системой.
После внедрения троян Linux.Fokirtor передал в закодированном виде злоумышленникам имя хоста, IP-адрес, порт, пароль, ключ SSH и логин. Получив указанные реквизиты, хакеры смогли отправлять на удаленный сервер вполне легитимные запросы на выполнение различных команд, используя стандартный протокол SSH. При этом, чтобы не быть обнаруженными, они зашифровывали команды и помещали их в привычный не вызывающий подозрений трафик.
Находясь на удаленном сервере, троян выполнял непрерывный мониторинг трафика, приходящего по протоколу SSH, с целью поиска последовательности символов «двоеточие, восклицательный знак, точка с запятой и точка» («:!;.»). После обнаружения такой последовательности, служившей командой на чтение трафика, троян переходил в режим приема последующих данных и извлекал из них команды, зашифрованные с помощью технологий Blowfish и Base64. Сообщения, содержащие команды управления, могли выглядеть следующим образом: :!;.UKJP9NP2PAO4.
Таким образом атакующие могли формировать обычные сетевые запросы через SSH или другие протоколы и легко добавлять секретную последовательность команд, избегая обнаружения. Команды исполнялись сервером, и их результаты отсылались обратно хакерам. Среди команд были и те, которые заставили сервер отправить персональные данные клиентов провайдера.
Специалисты Symantec отмечают, что на фоне регулярных атак, которые происходят ежедневно, указанная атака носит исключительный характер. В частности, она отличается своей изощренностью. Ранее в Symantec подобные атаки не встречали
“Скотч спасёт мир” – Мужчина пожаловался на «ноу-хау» в строительстве стеклянных навесов в Минске
«Что-то не то в лесах» — На границе Беларуси и Польши заметили лису, «как из сказки», но пользователи TikTok встревожились
«Поймал «крокодила» — На Гродненщине рыбак выловил щуку весом более 12 кг
В украинском Днепре ракета попала в жилую пятиэтажку. Есть погибшие
МВД показало кадры контртеррористических учений в Минске по сценарию теракта в Crocus City Hall
«Хозяин хотел 1,5 миллиона долларов» — Белорус показал «непокорённый» домик в Минске
«Инженерная мысль на высоте» — В TikTok показали старинный деревенский ключ. Как им пользоваться?
«Они там круглые сутки плавают?» — Часы из синхронисток в израильском аэропорту покорили соцсети
«Чем пичкают?» — Парень спросил в TikTok, что не так с купленной курицей. Но белорусов удивила не она
В США побили мировой рекорд по танцам на пуантах — одновременно станцевали 353 балерины
«Яша, тебя ничего не смущает?» — Брестчанин показал в ТикТоке «позор всех аистов». Но белорусы не согласились
В Индонезии впервые за 22 года проснулся вулкан Руанг – сотни людей эвакуировали
В ГАИ показали, как в Витебске легковушка сбила на переходе 9-летнего мальчика
«Белорусская Голландия» — В TikTok показали поле из тюльпанов на Брестчине. Пользователи не поверили
