Бэкдор Linux/Cdorked – новая серьезная угроза

Сразу несколько компаний, занимающихся вопросами кибербезопасности, сообщают о набирающей силу атаке. Киберпреступники используют принципиально новую тактику, которая чрезвычайно осложняет обнаружение и ликвидацию угрозы.

«Классическая» схема кибератаки сегодня вполне отработана и выглядит примерно следующим образом. Злоумышленники взламывают легальные сайты и устанавливают механизм перенаправления на свои страницы (с этой же целью используются и ссылки в спам-сообщениях). При установлении соединения с ними на компьютеры пользователей и загружается самое различное вредоносное ПО.

Нынешняя атака организована иначе: ее мишенью становятся сами веб-серверы, конкретно – кроссплатформенное ПО Apache. HTTP-серверы Apche являются самыми популярными в мире, на них работает более половины всех веб-серверов. Киберпреступники устанавливают контроль над веб-сервером Apache и заменяют исполняемый файл на его модификацию, содержащую бэкдор Linux/Cdorked.

Как происходит первоначальный захват сервера пока неизвестно. Специалисты компании Sucuri, расследующие атаки, предполагают, что речь может идти о взломе путем подбора паролей. Что касается Linux/Cdorked, то эксперты ESET, также работающие над расследованием, отмечают, что это один из самых сложных и изощренных бэкдоров, с которыми им приходилось сталкиваться.

Linux/Cdorked не создает никаких файлов на диске, используя лишь разделяемую память. Таким образом, он не оставляет следов, и обнаружить его присутствие практически невозможно. Инфицированные Linux/Cdorked серверы перенаправляют пользователей на страницы, содержащие вредоносное ПО, в том числе и печально известный пакет эксплойтов Blackhole.

При этом перенаправление осуществляется весьма осторожно. Пользователь с одним и тем же IP-адресом может быть перенаправлен на вредоносный сайт лишь один раз в день, что создает иллюзию произвольной ошибки сервера. Также произвольными выглядят и адреса, к которым сервер обращается за дополнительными командами со стороны киберпреступников.

Вышеперечисленные причины максимально затрудняют обнаружение Linux/Cdorked и противодействие атаки. Как предполагают аналитики, жертвами Linux/Cdorked могли стать уже несколько сотен серверов.