Rosyjscy hakerzy ukryli malware w rozszerzeniu do środowiska Gnome

28 września, 2019
Rosyjscy hakerzy ukryli malware w rozszerzeniu do środowiska Gnome

Na początku lipca odkryto nowy, zupełnie niewykrywalny dotąd backdoor dla systemu Linux. Analiza ujawniła dowody, które wskazują na pewne podobieństwa operacyjne pomiędzy wykrytym teraz złośliwym oprogramowanie a grupą Gamaredon. Ów cybergrupa przestępcza została zidentyfikowana przez ukraiński CERT jeszcze w 2018 roku, kiedy wraz ze Służbą Wywiadu Zagranicznego Ukrainy ogłoszono wykrycie na urządzeniach rządowych backdoora Pterodo powiązanego z rosyjskimi hakerami. Służba Bezpieczeństwa Ukrainy (SBU) powiązała jednostkę Gamaredon z Federalną Służbą Bezpieczeństwa Rosji (FSB). Wówczas doniesienia ukraińskiego CERT-u wskazywały na to, że te działania przestępcze były przygotowywaniem się do czegoś większego.

Wracając do Linuksa — wykryte złośliwe oprogramowanie zostało umieszczone w repozytorium z rozszerzeniami do powłoki graficznej GNOME. Próbka szkodnika, zdaniem ekspertów, była jeszcze w fazie testowej, ponieważ posiadała niedokończoną funkcję keyloggera. Niestety pozostałe funkcje szkodliwego oprogramowania działają i obejmują:

  • wykonywanie zrzutów ekranu,
  • kradzież plików,
  • nagrywanie rozmów z mikrofonu,
  • możliwość pobierania i uruchamia kolejnych modułów.

Jak sprawdzić potencjalną infekcję backdoorem dla systemu Linux?

Po pobraniu rozszerzenia paczka zawierała następujące pliki:

  • gnome-shell-ext: plik wykonywalny agenta szpiegowskiego
  • gnome-shell-ext.sh: skrypt sprawdza, czy gnome-shell-ext już działa, a jeśli nie to go uruchamia
  • rtp.dat:  plik konfiguracyjny dla gnome-shell-ext
  • setup.sh: skrypt instalacyjny, który jest uruchamiany po rozpakowaniu paczki

Zaleca się, aby użytkownicy, którzy chcą sprawdzić, czy ich komputery są zainfekowane, zajrzeli do ukrytej lokalizacji w katalogu głównym w profilu użytkownika […]:

~ /.cache/gnome-software/gnome-shell-extensions

[…] w poszukiwaniu pliku wykonywalnego gnome-shell-ext.

Badacze stworzyli również reguły YARA, które można zaimplementować do rozwiązania bezpieczeństwa skanującego pliki pod kątem złośliwego oprogramowania, lecz muszą to zrobić producenci owych produktów. Z kolei administratorom lub użytkownikom zaleca się, aby przeskanowali system pod kątem poniższych sum kontrolnych, a także aby zablokowali podane adresy.

IOCs

EvilGnome:

a21acbe7ee77c721f1adc76e7a7799c936e74348d32b4c38f3bf6357ed7e8032
82b69954410c83315dfe769eed4b6cfc7d11f0f62e26ff546542e35dcd7106b7
7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869

195.62.52[.]101

Gamaredon Group:

185.158.115[.]44
185.158.115[.]154
clsass.ddns[.]net
kotl[.]space

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]