Хакерська група з Китаю, відома як Evasive Panda (або DaggerFly), виявила новий метод нападу на мережеві пристрої на базі Linux. Використовуючи демон SSH (Secure Shell), їм вдається впроваджувати шкідливе програмне забезпечення в ці системи, що дозволяє їм проводити приховані операції та витягувати конфіденційну інформацію протягом тривалого часу. Ця тривожна тактика підкреслює зростаючу витонченість кібератак і вразливість деяких мережевих інфраструктур.
Техніка атаки: ELF/Sshdinjector.A!tr
Зловмисники використовують шкідливе програмне забезпечення під назвою “ELF/Sshdinitor.A!tr”, яке використовується для цілеспрямованих атак з середини листопада 2024 року, як повідомляє Bleeping Computer. Атака починається з вторгнення в мережевий пристрій Linux, хоча спосіб початкового проникнення залишається незрозумілим. Отримавши доступ, хакер перевіряє, чи система вже скомпрометована, і перевіряє наявність root-привілеїв. Якщо зловмисник має підвищений доступ, він розгортає на пристрої кілька шкідливих файлів.
Ключовим компонентом зламу є оманливий файл бібліотеки SSH під назвою libsssdh.so, який вставляється в програму SSH. Цей файл діє як чорний хід, дозволяючи хакерській групі передавати команди та вилучати інформацію. Додаткові файли, такі як mainpasteheader і selfrecoverheader, допомагають підтримувати постійну присутність в системі.
Повний контроль над системою
Скомпрометована бібліотека SSH надає зловмисникам широкий контроль над ураженим пристроєм, дозволяючи їм виконувати до 15 різних команд, серед яких:
- Збір системних даних, таких як імена хостів, MAC-адреси та специфікації обладнання.
- Доступ до конфіденційних файлів, включаючи файл паролів(/etc/shadow) та системні журнали(/var/log/dmesg).
- Завантаження і вивантаження файлів, створення списків каталогів і перейменування файлів.
- Створення віддаленої оболонки для прямого доступу до системи.
Такий повний доступ дозволяє зловмисникам контролювати процеси, виконувати віддалені команди та використовувати скомпрометовані пристрої як платформи для подальших атак.
Вплив на мережеву безпеку
Вправність групи Evasive Panda у використанні демонів SSH підкреслює гостру потребу в захисті мережевих пристроїв. Хоча SSH зазвичай вважається безпечним протоколом, він може стати вразливим, якщо його неправильно налаштувати або оновити. Цей інцидент також підкреслює необхідність надійних інструментів моніторингу для виявлення та реагування на незвичні дії на мережевих пристроях.
Захист від цих атак
Щоб мінімізувати ризик подібних атак, організаціям слід вжити наступних заходів:
- Регулярно оновлюйте та виправляйте вразливості мережевих пристроїв, щоб усунути відомі вразливості.
- Впровадити надійні методи автентифікації, такі як багатофакторна автентифікація (MFA), для доступу по SSH.
- Слідкуйте за журналами SSH для виявлення підозрілих дій, таких як несподіваний доступ з правами суперкористувача або несанкціоновані зміни файлів.
- Розгортайте системи виявлення вторгнень (IDS) для розпізнавання і запобігання шкідливому трафіку.
Нещодавні дії групи Evasive Panda свідчать про те, що ландшафт загроз постійно змінюється. Оскільки зловмисники вдосконалюють свою тактику, організаціям важливо залишатися пильними і проактивно захищати свої мережі.
