Представьте: вы системный администратор, внимательно следите за трафиком и видите, что один из серверов периодически «общается» с Microsoft Outlook. Подозрительно? Да ни капли! Все мы там сидим. Но именно на это и рассчитывали хакеры из группировки Harvester, когда выпускали в свет Linux-версию своего бэкдора GoGra.
Эта штука — настоящий цифровой шпион-невидимка. Вместо того чтобы стучаться на подозрительные хакерские серверы, зловред вежливо авторизуется через Azure Active Directory, берет OAuth2-токен и идет прямиком в Microsoft Graph API. Его цель — обычный почтовый ящик в Outlook. Там, в папке с крайне «секретным» названием «Zomato Pizza», он ищет письма, тема которых начинается со слова «Input».
Механика работы достойна низкобюджетного боевика: каждые две секунды бэкдор заглядывает в почту, выуживает зашифрованные AES-команды, исполняет их в системе и отправляет отчет ответным письмом с темой «Output». Чтобы замести следы, письмо с уликами удаляется через HTTP DELETE. Всё выглядит так, будто ваш компьютер просто очень любит проверять почту, а на самом деле он выполняет волю кибершпионов.
Попасть в систему GoGra пытается старым как мир способом — через маскировку. Вам подсовывают ELF-файл, который прикидывается безобидным PDF-документом. Если вы его запустили, считайте, что шпион прописался в системе через systemd и XDG autostart, притворившись системным монитором Conky.
Исследователи потешаются над тем, что разработчики Linux-версии оказались на редкость ленивыми: они под копирку перенесли код из Windows-варианта. Совпадают не только алгоритмы и ключи шифрования, но даже опечатки в названиях функций! Это как если бы преступник оставил на месте кражи ту же визитку с ошибкой в фамилии, что и в прошлый раз. Тем не менее, метод использования легитимных облачных сервисов для передачи команд остается крайне эффективным — вредоносная активность просто растворяется в нормальном корпоративном фоне, как капля воды в океане.
