Linuxos támadásokra született a RedXOR trójai

​Egy újabb, hátsó kapu létesítésére alkalmas kártékony program jelent meg, amely kifejezetten a Linux alapú rendszereken képes károkozásra.
 

Az Intezer biztonsági cég szerint 2020-ban több mint 40 százalékkal nőtt a Linux kompatibilis kártékony programok száma. Egyelőre semmiféle jel nem utal arra, hogy ez a tendencia megfordulna, ezért a vállalat arra hívta fel a figyelmet, hogy a Linux esetében is mind nagyobb odafigyelésre van szükség a vírusvédelem terén. Noha a linuxos károkozók száma jóval alatta marad a Windows-os társaikéhoz képest, azért egy-egy cég életében egy későn detektált ártalmas program komoly következményekkel járhat. Erre szolgáltat példát az a RedXOR nevű kártevő is, amelyet az Intezer szakemberei nemrég fedeztek fel.
 
Szerencsére a kártékony program jelenleg még nem terjed széles körben. A VirusTotal adatai szerint eddig elsősorban Tajvanból és Indonéziából jelentettek RedXOR-fertőzéseket. Sajnos azonban nem zárható ki, hogy a szerzemény máshol is jelen van, mivel a detektálása nem éppen egyszerű feladat, különösen akkor nem, ha a linuxos gépeken nincs megfelelően frissített vírusvédelem. A kockázatokat pedig tovább fokozza, hogy a RedXOR eddig célzott, APT-típusú támadásokban jutott szerephez. Az Intezer szerint nagy a valószínűsége annak, hogy a kínai Winnti hackercsoport áll a háttérben. Márpedig a Winnti-ről már számtalanszor bebizonyosodott, hogy nem kispályás eszközökkel dolgozik.
 
Hogyan működik a RedXOR?
 
Az eddigi vizsgálatok szerint a RedXOR a kiszemelt rendszereken egy rejtett, ".po1kitd.thumb" nevű mappát hoz létre, amelybe bemásolja a saját állományait, többek között egy ".po1kitd-2a4D53” nevű fájlt is. Eközben az Adore-ng, nyílt forráskódú rootkit segítségével gondoskodik arról, hogy a jelenlétét, a fájljait és a folyamatait minél jobban leplezze. A károkozó állománya kódolt módon tartalmazza a vezérlőszerverével való kapcsolatkiépítéshez szükséges adatokat (IP-cím, jelszó stb.). Vagyis a készítői "beégették" a forráskódba ezeket az információkat. Azonban fontos megjegyezni, hogy a kártevőt rendszeresen tudják frissíteni a vírusterjesztők, így ezeket az adatokat is módosíthatják.
 
A RedXOR a rendszer újraindítása után is életképes marad. Erre utalnak az alábbiak:
/usr/syno/etc/rc.d/S99po1kitd-update.sh
/etc/init.d/po1kitd-update
/etc/rc2.d/S99po1kitd-update

A RedXOR az általa létrehozott hátsó kapun keresztül számos művelet elvégzésére utasítható. Így például a következőkre is:

• rendszerinformációk lekérdezése
• felhasználói fiókok felkutatása
• távoli parancssor elérhetővé tétele
• proxy funkciók aktiválása
• fájlműveletek végrehajtása
• fájlok megnyitása
• fájlok feltöltése (adatszivárogtatás)

 
A vezérlőszerverével folyatott adatcsere során teljesen szokványos, HTTP-alapú kommunikációt használ, de a kiszolgáló csak akkor "szólítható meg", ha egy jelszó is elküldésre kerül a károkozó által.
 
Az Intezer szerint egy RedXOR fertőzést követően az érintett rendszereket nagyon alaposan át kell vizsgálni, annak érdekében hogy a károkozó összetevői, illetve a kártevő révén a számítógépre felkerült nemkívánatos fájlok mindegyikének eltávolítására sor kerüljön.