Na początku lipca odkryto nowy, zupełnie niewykrywalny dotąd backdoor dla systemu Linux. Analiza ujawniła dowody, które wskazują na pewne podobieństwa operacyjne pomiędzy wykrytym teraz złośliwym oprogramowanie a grupą Gamaredon. Ów cybergrupa przestępcza została zidentyfikowana przez ukraiński CERT jeszcze w 2018 roku, kiedy wraz ze Służbą Wywiadu Zagranicznego Ukrainy ogłoszono wykrycie na urządzeniach rządowych backdoora Pterodo powiązanego z rosyjskimi hakerami. Służba Bezpieczeństwa Ukrainy (SBU) powiązała jednostkę Gamaredon z Federalną Służbą Bezpieczeństwa Rosji (FSB). Wówczas doniesienia ukraińskiego CERT-u wskazywały na to, że te działania przestępcze były przygotowywaniem się do czegoś większego.
Wracając do Linuksa — wykryte złośliwe oprogramowanie zostało umieszczone w repozytorium z rozszerzeniami do powłoki graficznej GNOME. Próbka szkodnika, zdaniem ekspertów, była jeszcze w fazie testowej, ponieważ posiadała niedokończoną funkcję keyloggera. Niestety pozostałe funkcje szkodliwego oprogramowania działają i obejmują:
- wykonywanie zrzutów ekranu,
- kradzież plików,
- nagrywanie rozmów z mikrofonu,
- możliwość pobierania i uruchamia kolejnych modułów.
Jak sprawdzić potencjalną infekcję backdoorem dla systemu Linux?
Po pobraniu rozszerzenia paczka zawierała następujące pliki:
- gnome-shell-ext: plik wykonywalny agenta szpiegowskiego
- gnome-shell-ext.sh: skrypt sprawdza, czy gnome-shell-ext już działa, a jeśli nie to go uruchamia
- rtp.dat: plik konfiguracyjny dla gnome-shell-ext
- setup.sh: skrypt instalacyjny, który jest uruchamiany po rozpakowaniu paczki
Zaleca się, aby użytkownicy, którzy chcą sprawdzić, czy ich komputery są zainfekowane, zajrzeli do ukrytej lokalizacji w katalogu głównym w profilu użytkownika […]:
~ /.cache/gnome-software/gnome-shell-extensions
[…] w poszukiwaniu pliku wykonywalnego gnome-shell-ext.
Badacze stworzyli również reguły YARA, które można zaimplementować do rozwiązania bezpieczeństwa skanującego pliki pod kątem złośliwego oprogramowania, lecz muszą to zrobić producenci owych produktów. Z kolei administratorom lub użytkownikom zaleca się, aby przeskanowali system pod kątem poniższych sum kontrolnych, a także aby zablokowali podane adresy.
IOCs EvilGnome: a21acbe7ee77c721f1adc76e7a7799c936e74348d32b4c38f3bf6357ed7e8032 82b69954410c83315dfe769eed4b6cfc7d11f0f62e26ff546542e35dcd7106b7 7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869 195.62.52[.]101 Gamaredon Group: 185.158.115[.]44 185.158.115[.]154 clsass.ddns[.]net kotl[.]space
