Nowy trojan atakuje serwery Linux

Złośliwe oprogramowanie typu Linux.Sshdkit ukrywa się pod postacią bibliotek dla 32-bitowych i 64-bitowych dystrybucji Linuksa. Po udanej instalacji, trojan wszczepia swój kod do procesu sshd (odpowiedzialnego za udostępnianie szyfrowanego kanału do zdalnego łączenia się z danym serwerem i za identyfikowanie użytkownika), a następnie wykorzystuje jego mechanizmy autoryzacyjne.

Po uruchomieniu sesji i wprowadzeniu nazwy oraz hasła użytkownika, wirus wykrada te dane i przesyła je na zdalne serwery. W przypadku poprzednich wersji trojana Linux.Sshdkit, udało się przejąć kilka takich serwerów, a przy tym ustalić nie tylko liczbę zainfekowanych urządzeń, ale również ich adresy IP. Tylko w ostatnim miesiącu analitycy odkryli 562 zainfekowanych serwerów.

Nowa wersja tego złośliwego oprogramowania - Linux.Sshdkit.6 - ukrywa się pod postacią bibliotek dla 64-bitowych dystrybucji Linuksa. W obecnej wersji wprowadzono wiele zmian, aby utrudnić analitykom wirusów przechwycenie skradzionych haseł. Cyberprzestępcy zmienili m.in. metodę określania adresów serwerów, na które trojan wysyła skradzione informacje. Obecnie do obliczenia serwera docelowego używane jest specjalne hasło tekstowe, zawierające dane szyfrowane kluczem RSA wielkości 128 bajtów. Algorytm służący do generowania adresów zdalnych serwerów został przedstawiony na schemacie widocznym poniżej.

Ponadto, zmieniony został algorytm wykorzystywany do kierowania trojanem Linux.Sshdkit.6: otrzymuje on specjalny ciąg znaków sterujących, z którego dekoduje polecenie do wykonania wraz z parametrami. W związku z zagrożeniem ze strony nowego złośliwego oprogramowania, Doctor Web zaleca wszystkim administratorom serwerów Linux sprawdzenie systemu pod kątem tego zagrożenia.