תוכנות זדוניות של Linux FontOnLake משמשות להתקפות ממוקדות
מומחי ESET דיבר לגבי תוכנות זדוניות של FontOnLake, המשלב רכיבי דלת אחורית ו- rootkit. התוכנה הזדונית ידועה כשימוש בהתקפות ממוקדות נגד ארגונים בדרום מזרח אסיה.
מומחים כותבים כי הקובץ הראשון הקשור למשפחת תוכנות זדוניות אלה הופיע סך הכל VirusTotal בחודש מאי בשנה שעברה, ודוגמאות אחרות הועלו במהלך השנה. מבוסס על המקום שממנו הורדו קבצים אלה, החוקרים הסיקו כי FontOnLake שימש בעיקר בדרום מזרח אסיה. בזמן כתיבת שורות אלה, כל שרתי הבקרה של התוכנה הזדונית כבר הושבתו. אבל החוקרים מציינים זאת, כחוק, במהלך התקפות ממוקדות, האקרים פועלים בדרך זו: עבודת התשתית נעצרת ברגע שהמטרות שלהם מושגות.
זה ידוע כי FontOnLake מופץ באמצעות יישומים טרויאניים, אך חוקרים אינם יודעים כיצד התוקפים אילצו את קורבנותיהם להוריד קבצים בינאריים שהשתנו. בין השירותים שהתוקף שינה כדי לספק FontOnLake היו חתולים, לַהֲרוֹג, sftp, ו shd.
לדברי החוקרים, כלי השירות הטרויאני השתנו כנראה ברמת קוד המקור, זה, התוקפים ריכזו אותם והחליפו את המקור.
כמו כן, הבינארים שהשתנו סיפקו טעינה של מטענים נוספים, איסוף מידע וביצוע פעולות זדוניות אחרות. העובדה היא של- FontOnLake יש כמה מודולים שמתקיימים ביניהם אינטראקציה ומאפשרים להאקרים לגנוב נתונים חסויים, מסתירים ביעילות את נוכחותם במערכת.
המומחים גילו גם שלוש דלתות אחוריות מותאמות שנכתבו ב- C. ++ וקשור ל- FontOnLake. הם מספקים למפעילי תוכנות זדוניות גישה מרחוק למערכת הנגועה. תכונה משותפת לכל הדלתות האחוריות היא העברת אישורי sshd שנאספו והיסטוריית הפקודות bash לשרת הפקודה והבקרה..
הנוכחות של FontOnLake במערכת שנפגעת מוסווית גם על ידי ערכת rootkit, שאחראית גם על עדכון ומסירת דלתות גיבוי אחוריות. כל דגימות rootkit שנחקרו על ידי ESET גרסאות ליבה ממוקדות 2.6.32-696.el6.x86_64 ו- 3.10.0-229.el7.X86_64.
הרשה לי להזכיר לך שגם אנחנו כתבנו את זה האקרים יוצרים משואה של קובלט שביתה עבור לינוקס.
