Некоторые люди убеждены, что системы на базе Linux являются гарантией безопасности. Однако это огромная ошибка.
Да, что отдельные пользователи находятся в относительной безопасности — хотя это связано с маргинальным использованием Linux на ПК, а не с преимуществами системы. Создавать вирусы для систем, которыми почти никто не пользуется, — пустая трата времени.
Однако ситуация меняется, когда мы игнорируем отдельных пользователей. Ведь системы на базе Linux используются многочисленными компаниями и учреждениями, в том числе и финансовыми. Так что это лакомый кусок для хакеров.
Читайте также: Опасная уязвимость процессоров Apple — справиться с ней непросто
У Linux проблемы с безопасностью
На проблему впервые обратили внимание исследователи из Blackberry и Intezer, опубликовавшие несколько дней назад информацию о трудно обнаруживаемом вредоносном ПО для Linux, нацеленном на латиноамериканские финансовые учреждения.
Symbiote — так называется этот вирус — позволяет неавторизованным пользователям собирать учётные данные или получать удалённый доступ к целевому компьютеру. Хуже всего то, что после заражения все вредоносные программы остаются скрытыми и не обнаруживаемыми.
Как это возможно? Ну, мы здесь имеем дело не с исполняемым файлом, как в случае с большинством подобных типов угроз. Вместо этого Symbiote, поставляется в виде общей библиотеки объектов. Оттуда загружается в текущие процессы на целевом компьютере.
Это очень умный ход со стороны киберпреступников и сложно решаемая проблема для специалистов по безопасности.
Хорошо, но что Symbiote может сделать с компьютером? К сожалению, довольно много. Речь идёт о краже информации, в том числе учётных данных, предоставлении удалённого управления компьютером и выполнении команд, требующих более высоких привилегий, без необходимости авторизации.
Кроме того, вирус может разными способами скрывать сетевую активность заражённой машины. Стоит также отметить, что Symbiote не использует код предыдущих Linux-вирусов. Это совершенно новый класс угроз, который не имеет ничего общего с предыдущими типами атак, что ещё больше затрудняет его обнаружение.
Однако это не означает, что сетевые администраторы совершенно беспомощны. Они могут использовать сетевую телеметрию для обнаружения аномальных DNS-запросов. Таким образом, обнаружить вирус невозможно, но можно увидеть действия.
Можно заметить и сам момент ввода кода в систему, оставляющий после себя следы. Вирус невозможно обнаружить, если уже не находится в системе.
Хотите первыми узнавать всё о Hi-Tech – ПОДПИСЫВАЙТЕСЬ НА КАНАЛ
А также читайте самые свежие обзоры на нашем сайте – TehnObzor.RU