Linuxos rendszerekre is lecsapott a TrickBot trójai

A hírhedt TrickBot nevű kártékony program készítői immár a Linux alapú rendszereket is célkeresztbe állították.
 

A TrickBot már eddig is nagyon sok kárt okozott világszerte. Egy olyan multifunkciós trójai programról van szó, amely alkalmas adatlopásra, jelszavak meglovasítására, valamint egyéb károkozók terjesztésére. Korábban egyebek mellett a Ryuk és a Conti zsarolóprogramok szaporításából is jelentős mértékben kivette a részét. 2019-ben pedig megjelent hozzá egy Anchor nevű keretrendszer, amivel egyebek mellett a DNS-adatforgalomba tudta elrejteni a vezérlőszervereivel folytatott kommunikációját. A nevét is innen kapta: Anchor_DNS. E képességével nagyon jól el tudott rejtőzni, és jelentősebb célpontok ellen is bevethetővé vált, akár APT-típusú támadások során is.
 
A TrickBot különféle variánsainak eddigi közös jellemzője az volt, hogy Windows operációs rendszerekre épülő számítógépeket fertőztek. Ez azonban mostanra megváltozott, ugyanis a Stage 2 Security biztonsági cég szakértője, Waylon Grange egy olyan példányt leplezett le, amely Linux alatt is életképes.
 
Az Anchor_Linux néven emlegetett szerzemény alapvetően két célt szolgál. Egyrészt hátsó kaput nyit a linuxos rendszereken, másrészt azokról próbálja megfertőzni az adott hálózatban lévő Windows-os szervereket, PC-ket. Vagyis ugródeszkaként szolgál akár teljes hálózatok megfertőzéséhez.
 
A linuxos változat fontos jellemzője, hogy magában foglalja a Windows kompatibilis fájljait is. Ezeket egyebek mellett megosztásokon keresztül próbálja feljuttatni a számítógépekre. Mindezt meglehetősen aktívan teszi, hiszen cronnal ütemezett feladatok révén percenként lefut.
 
Vitali Kremez biztonsági szakértő felhívta a figyelmet arra, hogy az új TrickBot, illetve az Anchor_Linux alkalmas lehet linuxos szerverek, illetve számítógépek ostromlása mellett arra is, hogy különféle Linux alapú hálózati eszközöket, adattárolókat, illetve IoT-eszközöket fertőzzön meg. Ezért igazán akkor lehet hatékonyan fellépi ellene, ha egy szervezetnél valóban átfogó és többrétegű védelem működik.
 
A biztonsági szakértő hozzátette, hogy az Anchor_Linux jelenlétére leginkább az utal, hogy az érintett rendszeren létrejön egy /tmp/anchor.log nevű naplófájl. Amennyiben erre az üzemeltetés során valaki ráakad, akkor azonnal célszerű egy átfogó ellenőrzést végezni.