Группа исследователей из Nextron Systems сообщила о новом виде вредоносного ПО для Linux, получившем название Plague. Особенность этого вируса заключается в том, что он мог длительное время действовать абсолютно невидимо, предоставляя злоумышленникам полный контроль над системой посредством протокола SSH.
Главная проблема Plague состоит в том, что он действует как вредоносный компонент подсистемы аутентификации Linux (PAM), благодаря чему ему удается внедряться в процесс авторизации и выполнять скрытые операции. Используя разнообразные методы сокрытия и шифрования, Plague остается вне зоны видимости большинства стандартных средств защиты.
Основные особенности Plague включают:
- Многослойную защиту, затрудняющую исследование и обратную разработку;
- Возможность подделывать окружающую среду, оставаясь незаметным для пользователя;
- Наличие фиксированного набора паролей для осуществления несанкционированного доступа;
- Способность полностью очищать журналы истории действий, стирая любые признаки вторжения.
Помимо прочего, Plague успешно сопротивлялся попыткам выявления специалистами по информационной безопасности в течение целых двенадцати месяцев. Даже загрузка образцов этого вредоносного ПО на ресурс VirusTotal не привела к тому, что хотя бы одна система антивирусной защиты смогла распознать его как угрозу.
Таким образом, данный вид вредоноса представляет значительную проблему для организаций и частных лиц, использующих Linux-серверы и рабочие станции. Чтобы защититься от подобных атак, рекомендуется постоянно следить за обновлениями безопасности, настраивать мониторинг активности пользователей и активировать дополнительные меры контроля доступа.
Важно помнить, что современные вирусы становятся все сложнее и изобретательнее, поэтому особое внимание следует уделять вопросам киберзащиты.