Как сообщают эксперты Symantec, в мае текущего года они вели расследование инцидента безопасности, произошедшего во внутренних сетях крупного интернет-провайдера (название компании не раскрывается). Злоумышленникам удалось скомпрометировать административные компьютеры и получить доступ к таким конфиденциальным данным, как имена пользователей, их адреса электронной почты и пароли (в зашифрованном виде).
“Финансовые данные клиентов провайдера также были доступны атакующим в зашифрованном виде. К сожалению нельзя исключить, что хакерам удалось похитить также и ключи шифрования”, – поясняют в Symantec, подчеркивая, что в ходе расследования их удивила не цель, а сложность данной атаки. По мнению исследователей, злоумышленники осознавали, что компания достаточно хорошо защищена и решили маскировать свою активность. Для этих целей они разработали специальный бэкдор Fokirtor для Linux, способный скрываться в SSH и других процессах сервера.
При этом вирус не устанавливал соединение с C&C-сервером; вместо этого, код бэкдора внедрялся в процесс SSH и проводил мониторинг сетевого трафика, осуществляя поиск специальной комбинации символов – “:!;.”. Далее вредоносное приложение извлекало зашифрованные его разработчиками команды. (Symantec/NovostIT)