Современным специалистам по кибербезопасности постоянно приходится бороться с хакерами, о чем неоднократно сообщало FederalCity. Их противники подкидывают им все новые задачи, то устраивая DDoS-атаки, то создавая очередные компьютерные вирусы. Причем в последнее время целью вирусов все чаще становится операционная система «Linux».
Эта система сейчас весьма популярна: ее используются в компьютерах, серверах и облачных инфраструктурах как отдельные пользователи, так и целые организации. Неудивительно, что она привлекает к себе и внимание хакеров. Причем их интерес к ней постоянно растет, а разработанные под нее вредоносные программы становятся все более совершенными и неуловимыми для экспертов в области кибербезопасности.
Логотип "Intezer Labs". Фото: Википедия
Компания «Intezer Labs», предоставляющая свою платформу заказчикам для быстрого обнаружения вирусных программ, сообщила о новом опасном для «Linux» вирусе, который пока способны выявить далеко не все антивирусные системы. Этот вирус получил название «OrBit» - по имени одного из файлов, используемых им для временного хранения данных, позволяющих ему делать свое «черное дело». Данная программа устанавливается либо с возможностью сохранения, либо в виде имплантата, имеющего энергонезависимость.
Причем в отличие от других похожих вирусов, которые захватывают общие библиотеки с помощью изменения переменной среды «LD_PRELOAD», «OrBit» применяет два разных способа для загрузки вредоносной библиотеки. Он либо исправляет двоичный файл загрузчика для того, чтобы тот сам загрузил его в нужное место, либо добавляется в файл конфигурации.
После внедрения вирусной программы в компьютер и ее развертывания устанавливается удаленное соединение с устройством по сетевому протоколу SSH и подключаются модули идентификации. В результате хакеры получают удаленный доступ к устройству и могут собирать учетные данные и регистрировать все отданные ему команды. При этом происходит также заражение всех запущенных на компьютере процессов, включая те, что были начаты после внедрения вируса, что дает злоумышленникам полный контроль над устройством.
Эмблема-талисман "Linux". Фото: Википедия
Собранные вирусом данные сохраняются на устройстве во временных файлах, к которым хакеры тоже имеют доступ. Сам же «OrBit» способен уклоняться от обнаружения самыми передовыми методами, манипулируя выходными данными и не давая «увидеть» любую информацию о себе, так что удалить его с устройства, где он поселился, крайне сложно.
Это не первый вирус, поражающий систему «Linux». В июне 2022 года специалисты «Intezer Labs» обнаружили другую подобную вредоносную программу, названную «Symbiote» и работающую похожим образом. Так что пользователям этой системы стоит быть готовым к новым атакам и к тому, что число таких вирусов будет расти. Впрочем, в настоящее время, создатели защитных систем уже запустили процесс внесения «OrBit» в свои базы данных, и это дает надежду на то, что борьба даже с такими совершенными вредоносами может быть успешной.
В том числе и в России, несмотря на имеющиеся у наших программистов сложности с заменой западных антивирусных программ, о которых сообщало FederalCity.
