Угроза для серверов на базе Linux

Компания «Доктор Веб» сообщила о новой версии троянской программы Linux.Sshdkit, представляющей опасность для серверов, работающих под управлением ОС Linux. Согласно статистике, собранной аналитиками компании, от действий троянцев данного семейства пострадало уже несколько сотен серверов.

О первых версиях вредоносной программы Linux.Sshdkit «Доктор Веб» сообщала в феврале 2012 г. Троянец представляет собой динамическую библиотеку, существуют ее разновидности для 32- и 64-разрядных версий дистрибутивов Linux. После установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер. Специалисты «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. В течение мая 2013 г. троянец передал на контролируемый аналитиками управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых есть и серверы крупных хостинг-провайдеров.

Новая версия, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-разрядных Linux-систем. В данной реализации внесен ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт.

Изменился и алгоритм получения троянцем команд: теперь вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.

Троянцы семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением ОС Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер.