Linux alapról uralkodtak a Duqu botmesterei

2011. december 6. kedd, 08:10 • Vírus HíradóLinux, szerver, Duqu, botmester, féreg, trójai, windows, szoftver, hacker, támadás, Red Hat
A Stuxnet hadiféreg utódjának vagy párjának tekinthető Duqu trójai program eddig Windows-os jelenségként szerepelt a hírekben - a titokzatos ártó kód mögött álló, rendkívüli felkészültséggel és lehetőségekkel bíró hackerekről azonban végig nyilvánvaló volt, hogy szükség esetén bármely szoftver-platformot képesek lehetnek saját céljaikra felhasználni. Ez a feltevés most a Kaspersky Lab antivírus cég vizsgálatai nyomán beigazolódott. A kutatók azt találták, hogy a katonai hackerek világszerte Linux-szervereket törtek fel és használtak illetéktelenül a Duqu trójai programot központilag irányító C&C állomások céljára.

Twitter megosztás
Cikk nyomtatása
    Az áldozatul esett gépek minden esetben a Red Hat Enterprise Linux ingyenes változatának tekinthető, meglehetősen népszerű CentOS disztribúció 5.2, 5.4 vagy 5.5 verzióját futtatták, 32 vagy 64 bites kivitelben, és néha a Dovecot nevű POP3 levelező-szerver is megtalálható volt rajtuk - ennek alkalmanként megfigyelt összeomlása akár a Duqu-hackerek tevékenységével is összefügghet.

Eltűnt a lemez a cilinderben

    A víruselemzők úgy vélik, hogy legalább egy tucat feltört szerver működhetett közre a titkos Duqu-akcióban annak kezdete, 2009. óta. A Kaspersky laborban azonban eddig csak néhány érintett gép mentését sikerült megvizsgálni és azokat is csak töredékes formában, mert a lebukás veszélyét idén ősszel megneszelő hackerek a "felégetett föld" taktikáját alkalmazták a nyomok eltüntetésére.
    Az "A" jelű CentOS 5.5 szerver Vietnamban működött, a támadók ezt az Iránban található, adattolvaj kóddal fertőzött gépek kapcsolattartására használták. Erről többet csak nehezen lehetett kideríteni, mivel 2011. október 20. körül a Duqu urai távolról letörölték a gép lemezét - ahogyan a hasonló célú feltört szerverekét is. A Kaspersky kutatói, bár csak az ext3 partícióról készült képfájlhoz férhettek hozzá, a fel nem használt terület átnézésekor mégis ráakadtak az sshd.log távoli hozzáférési naplófájl néhány helyreállítható részletére.
    A fájltöredékek elemzésekor a kutatók megállapították, hogy a Duqu-hackerek erősen érdeklődtek a titkosított terminál-kapcsolati protokollok biztonsága iránt. Az eredetileg OpenSSH 4.3-as kiadást futtató feltört szerveren 2011. február 15-én telepítették a friss openssh-5.8p1, majd július 19-én az 5.8p2 csomagot - de, hogy miért, az még nem ismert. Az OpenSSH 4.3 kiadásban talán feltörésre alkalmas "nulladik napi" biztonsági hiba található, bár a Kaspersky elemzői szerint ez "túl rémisztő" lehetőség ahhoz, hogy igaz legyen.

Talán sohasem derül ki, miért kellene igazán aggódnunk

    Szerencsére egy Németországban található másik "B" jelű C&C szerver szintén töredékes sshd.log fájljának vizsgálata azt mutatja, hogy az illetéktelen belépés gyengébb, "brute force" módszerrel történt - legalábbis 2009. november 18-án, amikor a támadók egy szingapúri IP-címet használva 8-9 percen keresztül végeztek, végül eredményesnek bizonyult jelszó-próbálgatást.
    A hackerek ezután egy, a port-átirányítási teljesítményt növelő változtatást végeztek az egyébként bolgár illetőségű szerveren, illetve bekapcsolták a Kerberos GSSAPI típusú felhasználói azonosítást a több gépre történő kényelmes "single sign-on" bejelentkezés támogatása érdekében.
    Ezeket a változtatásokat más, például Belgiumban, Hollandiában és Indiában található, Duqu C&C vezérlés céljára feltört szervereken is elvégezték a támadók - ami alapján a Kaspersky Lab kutatói úgy látják, hogy talán csak a vietnami "A" jelű gép állt közvetlen kapcsolatban az Iránban felderített, trójai-fertőzött célpontokkal.
    A többi szerver egyfajta labirintusként, a távoli utasításokat és a lopott adatforgalmat világszerte keresztül-kasul küldözgető hálózatként funkcionált, amely megnehezítette a támadók valódi azonosságának kiderítését - az idén október 20-i tömeges lemeztörlés pedig örökre eltüntethette az árulkodó nyomokat.