Срочно. Хакеры атакуют системы Linux с помощью старого Red Hat Enterprise Linux

Хакеры атакуют системы Linux с помощью старого Red Hat Enterprise Linux. Фото: Pixabay

Его операторы развёртывают RedXOR для проникновения в конечные точки и системы Linux для просмотра файлов, кражи данных, загрузки или выгрузки данных, а также для туннелирования сетевого трафика. Бэкдор также сложно идентифицировать, поскольку он маскируется под polkit, — фоновый процесс для управления компонентом, контролирующим общесистемные привилегии, сообщают исследователи Intezer.

После установки вредоносная программа перемещает свои двоичные файлы в скрытую папку под названием po1kitd.thumb, чтобы замаскироваться под polkit. Затем вредоносная программа связывается с сервером управления и контроля под видом HTTP-трафика , откуда затем отправляются инструкции.

Исследователи наблюдали за заражённым сервером, выявив в общей сложности 19 отдельных команд, включая запрос системной информации и выпуск обновлений для вредоносного ПО. Специалисты по безопасности утверждают, что наличие «включения и выключения» на сервере управления также указывает на то, что операция все ещё активна.

Для создания бэкдора хакеры использовали компилятор Red Hat 4.4.7 GNU Compiler Collection (GCC), который является GCC по умолчанию для RHEL 6. Впервые он был выпущен в 2010 году.

Основная поддержка RHEL 6 закончилась в ноябре 2020 года, а это означает, что ряд серверов и конечных точек, вероятно, все ещё работают с RHEL 6. Однако в Intezer не раскрывают количество или характер выявленных жертв.