Specjaliści z Check Point, izraelskiego przedsiębiorstwa produkującego popularne zapory sieciowe i systemy VPN, trafili na trop działań wykorzystujących serwery Linux do instalacji nowego backdoora omijającego wszystkich dostawców zabezpieczeń. SpeakUp, bo tak nazywa się nowy trojan, wykorzystuje luki w dystrybucjach systemu Linux. Atak skierowano na serwery z całego świata.

Nowe zagrożenie

SpeakUp (nazwa powstała od jego domeny command-and-control, SpeakUpOmaha[dot]com), działa w zainfekowanej podsieci, ale także poza nią. Wszystko to dzięki wykorzystaniu luk w zabezpieczeniach dotyczących zdalnego wykorzystywania kodu. Oprócz tego ma możliwość infekowania urządzeń z serii Mac z niewykrytym backdoorem. Eksperci wykazali, że trojan służy do infekowania serwerów w taki sposób, by te rozsyłały cryptominery – nielegalne programy kopiące kryptowaluty (w tym wypadku monero) na urządzeniach końcowych użytkowników.

Aktualnie złośliwe oprogramowanie ma działać poprzez dostarczanie XMRig Miner i rozprzestrzenianie przez seryjnie wysyłane exploity oparte na komendach otrzymywanych z centrum kontroli. Do tej pory SpeakUp zainfekował głównie komputery w Azji Wschodniej i Ameryce Łacińskiej. Wśród nich były niektóre serwery hostowane przez Amazon Web Services, chmurową usługę giganta z Seattle. Szacuje się, że kampania mogła zostać wymierzona w ponad 70 tysięcy serwerów.

Szeroki zasięg

Oded Vanunu, szef działu badań nad podatnością produktów na ataki w Check Point, powiedział Threatpost, że zasięg tego ataku obejmuje wszystkie serwery z systemem ThinkPHP, Hadoop Yarn, Oracle WebLogic, Apache ActiveMQ i Red Hat JBoss. Twierdzi on, że skoro tym oprogramowaniem mogą zostać zainfekowane serwery wirtualne, to cała infrastruktura chmury również może być zagrożona.

Jak wspomina Lotem Finkelsteen, szef działu zagrożeń Check Point, SpeakUp wykorzystuje znane luki w aż sześciu różnych dystrybucjach Linuksa. – To szkodliwe oprogramowanie, które znajduje się na komputerze i czeka, aż ktoś wyśle komendę lub dodatkowe złośliwe oprogramowanie do następnych stadiów – powiedział Finkelsteen. – Na przykład czeka aż złośliwe oprogramowanie drugiego stadium zostanie zainstalowane na urządzeniu i wykona pewne komendy, takie jak zebranie wszystkich haseł lub przechwycenie całej komunikacji, lub może to być ransomware albo inny rodzaj złośliwego oprogramowania, które atakujący chciałby użyć lub uruchomić na zainfekowanym urządzeniu.            

Tożsamość hakera stojącego za atakiem póki co pozostaje nieznana. Wiele wskazuje jednak na to, że to twórca Zettabit, innego szkodliwego oprogramowania. Co prawda SpeakUp jest implementowany w inny sposób, ale posiada pewne wspólne cechy z dotychczasowymi działaniami Zettabit.    


Źródło: chip.pl, searchsecurity.techtarget.com

Zapraszamy do dyskusji
Nie ma więcej wpisów

Send this to a friend