Тысячи компьютеров c Linux заражены вредоносным ПО
Сложности с обнаружением затрудняют борьбу с нацеленным на заражение операционной системы Linux программным обеспечением, прозванным Perfctl. Оказалось, что уже тысячи компьютером под управлением этой операционной системы подхватили «штамм» зловреда. Опасное ПО отличается скрытностью, разнообразием запускаемых конфигураций и широтой негативных воздействий.
Вредоносное ПО циркулирует как минимум с 2021 года. Оно устанавливается, используя более 20 000 видов неверных настроек. Вероятные цели — миллионы подключённых к интернету компьютеров, заявили специалисты компании Aqua Security. Зловред также может использовать уязвимость с рейтингом серьёзности 10 из 10, известную как CVE-2023-33246. Исправление для неё появилось на Apache RocketMQ, платформе обмена сообщениями для пользователей «Линукс», лишь в 2023 году.
Исследователи описывают Perfctl как вредоносный код, который тайно добывает криптовалюту. Неизвестные разработчики паразитической программы дали ему название, которое сочетает в себе инструмент мониторинга Linux perf и трёхбуквенное ctl, что означает формат файла логики управления с учётом времени. Характерная особенность Perfctl — использование имён процессов и файлов, идентичных или похожих на те, которые обычно встречаются в «Линукс». И это лишь один из многих способов, за счёт которых вредоносное ПО пытается остаться незамеченным после заражения.
Ещё один из приёмов маскировки — установка собственных компонентов как руткитов, то есть особого класса вредоносных программ, которые скрывают своё присутствие от операционки и инструментов администрирования. Другие механизмы маскировки включают использование анонимайзера TOR для внешней связи; удаление установочного файла с двоичным кодом после выполнения и дальнейший запуск в фоновом режиме; управление процессом Linux pcap_loop методом перехватывания, чтобы предотвратить запись вредоносного трафика инструментами администрирования; подавление информации об ошибках mesg, чтобы избежать каких-либо видимых предупреждений.
Вредоносная программа разработана таким образом, чтобы обеспечить устойчивость, то есть способность оставаться на заражённом компьютере после перезагрузки или попыток удаления основных компонентов. Во-первых, происходит изменение сценария ~/.profile, который настраивает среду во время входа пользователя в систему, чтобы вредоносная программа загружалась раньше нормальных нагрузок, которые должны выполняться на сервере. Во-вторых, происходит копирование себя же из памяти в несколько мест на дисковом пространстве. Подмена файлов pcap_loop также может обеспечить устойчивость Perfctl, продолжая вредоносную активность даже после выявления и удаления основной части вируса.
Помимо использования вычислительного ресурса для майнинга криптовалют, Perfctl также превращает компьютер в прибыльный прокси-сервер, который платные клиенты используют для передачи своего интернет-трафика. Исследователи из Aqua Security также заметили, что вредоносное ПО служит лазейкой для установки других семейств вредоносных программ.
Кроме того, архитектура Perfctl позволяет ему выполнять ряд негативных действий, от кражи данных до развёртывания дополнительных вредоносных программ. Такая универсальность означает, что его можно использовать в различных целях и против организаций, и против частных лиц.
Хотя Perfctl и вредоносные компоненты, которые он устанавливает, обнаруживаются некоторыми антивирусными средствами, исследователям из Aqua Security не удалось найти никаких отчётов о целенаправленных исследованиях этого вредоносного ПО. Однако они увидели множество обсуждений на сайтах для разработчиков, посвящённых заражениям со схожими признаками.
Пользователи могут понять, стало ли их устройство мишенью или уже заражено Perfctl, если заметят необычные скачки при загрузке процессора или внезапные замедления работы системы, особенно при простое. Для предотвращения заражений важно установить исправление для CVE-2023-33246 и наладить конфигурации, выявленные Aqua Security. В отчёте специалисты представили и другие шаги для обеспечения безопасности.
Вредоносное ПО циркулирует как минимум с 2021 года. Оно устанавливается, используя более 20 000 видов неверных настроек. Вероятные цели — миллионы подключённых к интернету компьютеров, заявили специалисты компании Aqua Security. Зловред также может использовать уязвимость с рейтингом серьёзности 10 из 10, известную как CVE-2023-33246. Исправление для неё появилось на Apache RocketMQ, платформе обмена сообщениями для пользователей «Линукс», лишь в 2023 году.
Исследователи описывают Perfctl как вредоносный код, который тайно добывает криптовалюту. Неизвестные разработчики паразитической программы дали ему название, которое сочетает в себе инструмент мониторинга Linux perf и трёхбуквенное ctl, что означает формат файла логики управления с учётом времени. Характерная особенность Perfctl — использование имён процессов и файлов, идентичных или похожих на те, которые обычно встречаются в «Линукс». И это лишь один из многих способов, за счёт которых вредоносное ПО пытается остаться незамеченным после заражения.
Ещё один из приёмов маскировки — установка собственных компонентов как руткитов, то есть особого класса вредоносных программ, которые скрывают своё присутствие от операционки и инструментов администрирования. Другие механизмы маскировки включают использование анонимайзера TOR для внешней связи; удаление установочного файла с двоичным кодом после выполнения и дальнейший запуск в фоновом режиме; управление процессом Linux pcap_loop методом перехватывания, чтобы предотвратить запись вредоносного трафика инструментами администрирования; подавление информации об ошибках mesg, чтобы избежать каких-либо видимых предупреждений.
Вредоносная программа разработана таким образом, чтобы обеспечить устойчивость, то есть способность оставаться на заражённом компьютере после перезагрузки или попыток удаления основных компонентов. Во-первых, происходит изменение сценария ~/.profile, который настраивает среду во время входа пользователя в систему, чтобы вредоносная программа загружалась раньше нормальных нагрузок, которые должны выполняться на сервере. Во-вторых, происходит копирование себя же из памяти в несколько мест на дисковом пространстве. Подмена файлов pcap_loop также может обеспечить устойчивость Perfctl, продолжая вредоносную активность даже после выявления и удаления основной части вируса.
Помимо использования вычислительного ресурса для майнинга криптовалют, Perfctl также превращает компьютер в прибыльный прокси-сервер, который платные клиенты используют для передачи своего интернет-трафика. Исследователи из Aqua Security также заметили, что вредоносное ПО служит лазейкой для установки других семейств вредоносных программ.
Кроме того, архитектура Perfctl позволяет ему выполнять ряд негативных действий, от кражи данных до развёртывания дополнительных вредоносных программ. Такая универсальность означает, что его можно использовать в различных целях и против организаций, и против частных лиц.
Хотя Perfctl и вредоносные компоненты, которые он устанавливает, обнаруживаются некоторыми антивирусными средствами, исследователям из Aqua Security не удалось найти никаких отчётов о целенаправленных исследованиях этого вредоносного ПО. Однако они увидели множество обсуждений на сайтах для разработчиков, посвящённых заражениям со схожими признаками.
Пользователи могут понять, стало ли их устройство мишенью или уже заражено Perfctl, если заметят необычные скачки при загрузке процессора или внезапные замедления работы системы, особенно при простое. Для предотвращения заражений важно установить исправление для CVE-2023-33246 и наладить конфигурации, выявленные Aqua Security. В отчёте специалисты представили и другие шаги для обеспечения безопасности.
- Дмитрий Ладыгин
- freepik.com; aquasec.com
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас
Маск на грани: третья космическая катастрофа за год
Но эксперты уверены, что миллиардеру все снова сойдет с рук....
Аллигаторова щука: 100 миллионов лет... без эволюции
Как гигантская пресноводная рыба пережила даже динозавров?...
7 из 10: отключен еще один прибор «Вояджера-2»
Чем еще пришлось пожертвовать инженерам NASA?...
Спустя 500 лет останки Колумба наконец-то обнаружены!
Ученым понадобилось более 20 лет, чтобы доказать их подлинность....
Иисус Христос пользовался... волшебной палочкой
Об этом говорят фрески и другие древние изображения....
Таинственные области в мантии Земли оказались не тем, чем их считали ученые
Новое исследование показало, что все может быть намного проще....
Фотоны могут путешествовать в прошлое
Звучит поразительно, но физики обнаружили «отрицательное время» в странном эксперименте....
Долой болты: будущее прочных соединений — за метаповерхностями
Управляемый крепёж для аэрокосмической отрасли, робототехники и медицины....
Тысячи компьютеров c Linux заражены вредоносным ПО
Эпидемия началась ещё в 2021 году....
Колумб был не первым: за сотни лет до него викинги вовсю торговали с эскимосами
Об этом рассказали бивни средневековых моржей....
Мавзолей римского гладиатора оказался «общежитием»
Ученые разбираются, откуда в саркофаге бойца взялись кости 12 человек....
Невероятный прорыв в науке: два человека смогли осознанно пообщаться во сне
Похоже, в нашей жизни скоро начнется новая эра....
В Америке действует секретная программа по поиску и сокрытию информации об НЛО
Конгресс США в гневе, ведь Пентагон водил чиновников за нос много лет....
Средство для бесследного заживления ран нашли в глистах
Брезгливость vs польза....
Археологи восстановили приёмы боя на копьях в бронзовом веке
Экспериментальная археология проливает свет на технику обращения с оружием....
Контрольный выстрел в динозавров
Выяснилось, что астероид-убийца был не один....