Российская группировка Pawn Storm, занимающаяся кибершпионажем, инфицирует системы на базе Linux простым, но очень эффективным трояном, не требующим доступ с повышенными привилегиями. Как сообщают эксперты из ИБ-компании Palo Alto Networks, Fysbis обладает модульной архитектурой, позволяющей злоумышленникам при необходимости расширять его функционал с помощью плагинов.
Троян может устанавливаться как с правами, так и без прав суперпользователя. Основное предназначение Fysbis – похищение данных. Даже без полного контроля над инфицированной системой вредонос способен похищать конфиденциальные документы и следить за действиями жертвы в Сети. По мнению экспертов Palo Alto Networks, зачастую для достижения целей APT-группам не нужны сверхсложные инструменты, и Fysbis – яркое тому подтверждение.
“Несмотря на устойчивую веру (и ложное чувство безопасности) в высокий уровень защищенности Linux от действий злоумышленников, вредоносное ПО для Linux все же существует и используется прогрессивными противниками”, – сообщают исследователи.
Pawn Storm (также известна как Sofacy, APT28 и Sednit) – киберпреступная группировка, предположительно связанная с Россией. Основное направление деятельности – атаки на правительственные и оборонные организации по всему миру. Pawn Storm известна использованием эксплоитов для уязвимостей нулевого дня, а одним из ее главных инструментов является вредоносное ПО Sednit, предназначенное для Windows. APT (“развитая устойчивая угроза”) – противник, обладающий современным уровнем специальных знаний и значительными ресурсами, позволяющими достигать целей посредством различных векторов атак. (Palo Alto/NovostIT)