Компания Symantec сообщила об обнаружении трояна для Linux, с помощью которого была взломана сеть одного из крупных хостинг-провайдеров. В результате взлома хакеры получили доступ к логинам, паролям, электронным адресам и номерам счетов клиентов.
Как сообщается, атакующие понимали, что сеть провайдера обладает надежной защитой. Поэтому перед ними встала задача проникнуть в нее, не генерируя подозрительный трафик, что могло привлечь внимание службы безопасности. В итоге хакеры разработали и внедрили троян, который открывал собственный бэкдор ("лазейку"), через которую они могли бы управлять удаленной системой. После внедрения троян Linux.Fokirtor передал в закодированном виде злоумышленникам имя хоста, IP-адрес, порт, пароль, ключ SSH и логин. Получив их, хакеры смогли отправлять на удаленный сервер вполне легитимные запросы на выполнение различных команд, используя стандартный протокол SSH. При этом, чтобы не быть обнаруженными, они зашифровывали команды и помещали их в привычный не вызывающий подозрений трафик.
Находясь на удаленном сервере, троян выполнял непрерывный мониторинг трафика, приходящего по протоколу SSH, с целью поиска последовательности символов "двоеточие, восклицательный знак, точка с запятой и точка" (":!;."). После обнаружения такой последовательности, служившей командой на чтение трафика, троян переходил в режим приема последующих данных и извлекал из них команды, зашифрованные с помощью технологий Blowfish и Base64. Сообщения, содержащие команды управления, могли выглядеть, например, следующим образом: ":!;.UKJP9NP2PAO4".
Таким образом атакующие могли формировать обычные сетевые запросы через SSH или другие протоколы и легко добавлять секретную последовательность команд, избегая обнаружения. Команды исполнялись сервером, и их результаты отсылались обратно хакерам. Среди команд были и те, которые заставили сервер отправить персональные данные клиентов провайдера.
Атака на хостинг-провайдера указанным методом была совершена в мае 2013 года. Название компании в Symantec не сообщают.
