Исследователи из Netlab, подразделения компании 360, сообщили, что им удалось обнаружить новый бэкдор для Линукс, который они назвали RotaJakiro (из-за того, что эта группа вирусов использует сдвигаемое «rotate» шифрование, а поведение зависит от привилегированности пользователя). После заражения компьютера, злоумышленники получали полный доступ к управлению системой (через 443 порт, при помощи своего собственного протокола).

Cообщается, что бэкдор (а точнее семейство оных) оставался незамеченным как минимум 3 года.

Из технических особенностей:

• RotaJakiro способен поражать системы на базе amd64
• Бэкдор использует различные способы шифрования, чтобы затруднить обнаружение следов своей деятельности
• Маскировка под системные процессы (типа systemd-daemon или gvfsd-helper)

Также сообщается, что в бэкдор были интегрированы 12 функций для загрузки, выполнения и удаления неких плагинов, а сами функции можно объединить в 4 группы:

1. Получение и сообщение спецификаций устройства
2. Кража конфиденциальной информации
3. Работа с плагинами (запрос, загрузка, удаление)
4. Выполнения плагина

>>> Подробности

В результате анализа атаки на одного из крупных хостинг-провайдеров выявлен новый вид бэкдора для GNU/Linux, выполненный в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.

При работе бэкдор использует штатные серверный процессы и прослушивает их сетевой трафик. Бэкдор отслеживает появление в трафике маски :!;., при обнаружении которой декодирует следующий за ней блок данных. Данные зашифрованы шифром Blowfish и следуют в формате Base64.

Через закодированные блоки могут передаваться управляющие команды для выполнения произвольной shell-команды или инициирующие отправку собранных данных. Основной функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и e-mail. В частности, осуществляется перехват паролей и SSH-ключей пользователей, подключающихся к поражённой системе.

Подробности об атаке, в результате которой был установлен бэкдор, не сообщаются.

>>> Подробности

Крис Эванс (Chris Evans), автор «самого быстрого и защищенного» FTP-сервера для Unix-систем, сообщает о том, что в пакете с исходным кодом программы версии 2.3.4 обнаружено размещение бэкдора. Как измененный архив попал на сайт - остается загадкой, однако присутствующая в пакете GPG-подпись является неверной. Также нет никаких сведений о том, сколько времени вредоносный пакет находился онлайн в доступе для скачивания.

Добавленный код свидетельствует о том, что при попытке входа на сервер от пользователя с логином ":)" открывается порт 6200 с ожиданием соединения и предоставлением шелла.

На данный момент сайт и исходные тексты vsftpd перенесены на новую площадку. При этом каждый раз рекомендуется сверять GPG-подпись для скачанного файла. Сам автор полагает, что отсутствие каких-либо попыток скрытия вредоносного кода, а также способов определения уязвимых серверов, кроме простого перебора, говорит о том, что данная провокация не является серьезной попыткой атаки.

>>> Подробности