Na początku lipca odkryto nowy, zupełnie niewykrywalny dotąd backdoor dla systemu Linux. Analiza ujawniła dowody, które wskazują na pewne podobieństwa operacyjne pomiędzy wykrytym teraz złośliwym oprogramowanie a grupą Gamaredon. Ów cybergrupa przestępcza została zidentyfikowana przez ukraiński CERT jeszcze w 2018 roku, kiedy wraz ze Służbą Wywiadu Zagranicznego Ukrainy ogłoszono wykrycie na urządzeniach rządowych backdoora Pterodo powiązanego z rosyjskimi hakerami. Służba Bezpieczeństwa Ukrainy (SBU) powiązała jednostkę Gamaredon z Federalną Służbą Bezpieczeństwa Rosji (FSB). Wówczas doniesienia ukraińskiego CERT-u wskazywały na to, że te działania przestępcze były przygotowywaniem się do czegoś większego.

Wracając do Linuksa — wykryte złośliwe oprogramowanie zostało umieszczone w repozytorium z rozszerzeniami do powłoki graficznej GNOME. Próbka szkodnika, zdaniem ekspertów, była jeszcze w fazie testowej, ponieważ posiadała niedokończoną funkcję keyloggera. Niestety pozostałe funkcje szkodliwego oprogramowania działają i obejmują:

  • wykonywanie zrzutów ekranu,
  • kradzież plików,
  • nagrywanie rozmów z mikrofonu,
  • możliwość pobierania i uruchamia kolejnych modułów.

Jak sprawdzić potencjalną infekcję backdoorem dla systemu Linux?

Po pobraniu rozszerzenia paczka zawierała następujące pliki:

  • gnome-shell-ext: plik wykonywalny agenta szpiegowskiego
  • gnome-shell-ext.sh: skrypt sprawdza, czy gnome-shell-ext już działa, a jeśli nie to go uruchamia
  • rtp.dat:  plik konfiguracyjny dla gnome-shell-ext
  • setup.sh: skrypt instalacyjny, który jest uruchamiany po rozpakowaniu paczki

Zaleca się, aby użytkownicy, którzy chcą sprawdzić, czy ich komputery są zainfekowane, zajrzeli do ukrytej lokalizacji w katalogu głównym w profilu użytkownika […]:

~ /.cache/gnome-software/gnome-shell-extensions

[…] w poszukiwaniu pliku wykonywalnego gnome-shell-ext.

Badacze stworzyli również reguły YARA, które można zaimplementować do rozwiązania bezpieczeństwa skanującego pliki pod kątem złośliwego oprogramowania, lecz muszą to zrobić producenci owych produktów. Z kolei administratorom lub użytkownikom zaleca się, aby przeskanowali system pod kątem poniższych sum kontrolnych, a także aby zablokowali podane adresy.

IOCs

EvilGnome:

a21acbe7ee77c721f1adc76e7a7799c936e74348d32b4c38f3bf6357ed7e8032
82b69954410c83315dfe769eed4b6cfc7d11f0f62e26ff546542e35dcd7106b7
7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869

195.62.52[.]101

Gamaredon Group:

185.158.115[.]44
185.158.115[.]154
clsass.ddns[.]net
kotl[.]space
AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Jola sob., 28-09-2019 - 12:29

To "pewne podobieństwo" czy pewność?

Adrian Ścibor sob., 28-09-2019 - 12:34

Wysoki współczynnik prawdopodobieństwa. Wskazywały na to komentarze w kodzie, adresy IP tej samej infrastruktury serwerów, z których hakerzy korzystali wcześniej w atakach, podobnie zbudowane narzędzia z ataków na systemy Windows.

Dodane przez Jola w odpowiedzi na

Dodaj komentarz