Živě Premium
Bezpečnostní experti z firmy Intezer objevili nedokumentovaná zadní vrátka pro operační systém Linux. Sofistikovaný backdoor pojmenovali jako RedXOR a uvádějí, že je patrně dílem hackerské skupiny sponzorované čínskou vládou, která ho využívá k útokům na servery i desktopy.

Bezpečnostní experti z firmy Intezer objevili nedokumentovaná zadní vrátka pro operační systém Linux. Sofistikovaný backdoor pojmenovali jako RedXOR a uvádějí, že je patrně dílem hackerské skupiny sponzorované čínskou vládou, která ho využívá k útokům na servery i desktopy.

RedXOR nabízí širokou paletu funkcí, obsahující například provádění příkazů s nejvyššími systémovými oprávněními, přístup k souborům či skrývání vlastního procesu pomocí open-source rootkitu Adore-ng. Nechybí ani možnost přesměrování a kontroly síťového provozu či vzdálené aktualizace.

RedXOR nabízí širokou paletu funkcí, obsahující například provádění příkazů s nejvyššími systémovými oprávněními, přístup k souborům či skrývání vlastního procesu pomocí open-source rootkitu Adore-ng. Nechybí ani možnost přesměrování a kontroly síťového provozu či vzdálené aktualizace.

Odborníci našli několik spojení mezi backdoorem RedXOR a několika kmeny malwaru spojenými s organizací Winnti, která je spojována s čínskou vládou. Zmiňují například backdoory PWNLNX a botnety Groundhog a XOR.DDOS.

Odborníci našli několik spojení mezi backdoorem RedXOR a několika kmeny malwaru spojenými s organizací Winnti, která je spojována s čínskou vládou. Zmiňují například backdoory PWNLNX a botnety Groundhog a XOR.DDOS.

Důkazů o tom, že se jedná o dílo jedné skupiny, je celá řada. Ve zdrojových kódech jsou shodně pojmenované funkce, velmi podobný je styl a funkčnost kódu či kompilace pomocí staršího kompilátoru GCC pro Red Hat Enterprise Linux.

Důkazů o tom, že se jedná o dílo jedné skupiny, je celá řada. Ve zdrojových kódech jsou shodně pojmenované funkce, velmi podobný je styl a funkčnost kódu či kompilace pomocí staršího kompilátoru GCC pro Red Hat Enterprise Linux.

Objev nového malwaru není nijak překvapivý – jen v průběhu loňského roku byl zaznamenán nárůst zjištěných škodlivých aplikací pro Linux o 40 %. „V předchozím desetiletí objevili experti několik velkých kampaní zaměřených na systémy Linux, stejně jako unikátní malwarové nástroje pro Linux určené ke špionážním operacím,“ uvádí Intezer.

Objev nového malwaru není nijak překvapivý – jen v průběhu loňského roku byl zaznamenán nárůst zjištěných škodlivých aplikací pro Linux o 40 %. „V předchozím desetiletí objevili experti několik velkých kampaní zaměřených na systémy Linux, stejně jako unikátní malwarové nástroje pro Linux určené ke špionážním operacím,“ uvádí Intezer.

RedXOR se maskuje jako komponenta Polkit, určená pro řízení celosystémových oprávnění v operačních systémech typu Unix. Dosud byl zaznamenán ve vzorcích nahraných do služby VirusTotal z Indonésie a Tchaj-wanu, tedy ze zemí, jež jsou častým cílem čínských hrozeb.

RedXOR se maskuje jako komponenta Polkit, určená pro řízení celosystémových oprávnění v operačních systémech typu Unix. Dosud byl zaznamenán ve vzorcích nahraných do služby VirusTotal z Indonésie a Tchaj-wanu, tedy ze zemí, jež jsou častým cílem čínských hrozeb.

Hackeři vzdáleně ovládají škodlivou aplikaci prostřednictvím řídících serverů. Přes ně mohou zadávat různé příkazy a dostávat zpětnou vazbu. Tímto způsobem lze například získávat informace o systému, odinstalovat aplikace, vypisovat obsah složek, nahrávat a otevírat soubory či spouštět příkazy s nejvyššími právy.

Hackeři vzdáleně ovládají škodlivou aplikaci prostřednictvím řídících serverů. Přes ně mohou zadávat různé příkazy a dostávat zpětnou vazbu. Tímto způsobem lze například získávat informace o systému, odinstalovat aplikace, vypisovat obsah složek, nahrávat a otevírat soubory či spouštět příkazy s nejvyššími právy.

„Servery s Linuxem jsou pod neustálými útoky, protože tento operační běží na většině veřejných cloudových služeb. Průzkum provedený společností Sophos zjistil, že 70 % organizací využívajících veřejný cloud k hostování dat nebo pracovních úloh zaznamenalo v uplynulém roce bezpečnostní incident.“ uvádí v závěru své zprávy Intezer.

„Servery s Linuxem jsou pod neustálými útoky, protože tento operační běží na většině veřejných cloudových služeb. Průzkum provedený společností Sophos zjistil, že 70 % organizací využívajících veřejný cloud k hostování dat nebo pracovních úloh zaznamenalo v uplynulém roce bezpečnostní incident.“ uvádí v závěru své zprávy Intezer.

Čínští státní hackeři cílí novým malwarem RedXOR na počítače s Linuxem

Čínští státní hackeři cílí novým malwarem RedXOR na počítače s Linuxem

Čínští státní hackeři cílí novým malwarem RedXOR na počítače s Linuxem

Čínští státní hackeři cílí novým malwarem RedXOR na počítače s Linuxem

Čínští státní hackeři cílí novým malwarem RedXOR na počítače s Linuxem

Čínští státní hackeři cílí novým malwarem RedXOR na počítače s Linuxem

RedXOR nabízí širokou paletu funkcí, obsahující například provádění příkazů s nejvyššími systémovými oprávněními, přístup k souborům či skrývání vlastního procesu pomocí open-source rootkitu Adore-ng. Nechybí ani možnost přesměrování a kontroly síťového provozu či vzdálené aktualizace.
Odborníci našli několik spojení mezi backdoorem RedXOR a několika kmeny malwaru spojenými s organizací Winnti, která je spojována s čínskou vládou. Zmiňují například backdoory PWNLNX a botnety Groundhog a XOR.DDOS.
Důkazů o tom, že se jedná o dílo jedné skupiny, je celá řada. Ve zdrojových kódech jsou shodně pojmenované funkce, velmi podobný je styl a funkčnost kódu či kompilace pomocí staršího kompilátoru GCC pro Red Hat Enterprise Linux.
Objev nového malwaru není nijak překvapivý – jen v průběhu loňského roku byl zaznamenán nárůst zjištěných škodlivých aplikací pro Linux o 40 %. „V předchozím desetiletí objevili experti několik velkých kampaní zaměřených na systémy Linux, stejně jako unikátní malwarové nástroje pro Linux určené ke špionážním operacím,“ uvádí Intezer.
11
Fotogalerie

Čínští státní hackeři cílí novým malwarem RedXOR na počítače s Linuxem

Karel Kilián
14. března 2021
Diskuze (40)

Bezpečnostní experti z firmy Intezer objevili nedokumentovaná zadní vrátka pro operační systém Linux. Sofistikovaný backdoor pojmenovali jako RedXOR a uvádějí, že je patrně dílem hackerské skupiny sponzorované čínskou vládou, která ho využívá k útokům na servery i desktopy.

RedXOR nabízí širokou paletu funkcí, obsahující například provádění příkazů s nejvyššími systémovými oprávněními, přístup k souborům či skrývání vlastního procesu pomocí open-source rootkitu Adore-ng. Nechybí ani možnost přesměrování a kontroly síťového provozu či vzdálené aktualizace.

Stopy směřují do Číny

Odborníci našli několik spojení mezi backdoorem RedXOR a několika kmeny malwaru spojenými s organizací Winnti, která je spojována s čínskou vládou. Zmiňují například backdoory PWNLNX a botnety Groundhog a XOR.DDOS.

Důkazů o tom, že se jedná o dílo jedné skupiny, je celá řada. Ve zdrojových kódech jsou shodně pojmenované funkce, velmi podobný je styl a funkčnost kódu či kompilace pomocí staršího kompilátoru GCC pro Red Hat Enterprise Linux.

Objev nového malwaru není nijak překvapivý – jen v průběhu loňského roku byl zaznamenán nárůst zjištěných škodlivých aplikací pro Linux o 40 %. „V předchozím desetiletí objevili experti několik velkých kampaní zaměřených na systémy Linux, stejně jako unikátní malwarové nástroje pro Linux určené ke špionážním operacím,“ uvádí Intezer.

Malware RedXOR

RedXOR se maskuje jako komponenta Polkit, určená pro řízení celosystémových oprávnění v operačních systémech typu Unix. Dosud byl zaznamenán ve vzorcích nahraných do služby VirusTotal z Indonésie a Tchaj-wanu, tedy ze zemí, jež jsou častým cílem čínských hrozeb.

Hackeři vzdáleně ovládají škodlivou aplikaci prostřednictvím řídících serverů. Přes ně mohou zadávat různé příkazy a dostávat zpětnou vazbu. Tímto způsobem lze například získávat informace o systému, odinstalovat aplikace, vypisovat obsah složek, nahrávat a otevírat soubory či spouštět příkazy s nejvyššími právy.

„Servery s Linuxem jsou pod neustálými útoky, protože tento operační systém běží na většině veřejných cloudových služeb. Průzkum provedený společností Sophos zjistil, že 70 % organizací využívajících veřejný cloud k hostování dat nebo pracovních úloh zaznamenalo v uplynulém roce bezpečnostní incident.“ uvádí v závěru své zprávy Intezer.

Vstoupit do diskuze (40)

Určitě si přečtěte

Články odjinud