Ny Linux-bakdør: - Gir alt en angriper trenger

- En trusselaktør kan potensielt etablere seg i nettverket ditt og skjule tilgangen på en måte som er vanskelig å oppdage.

En bakdør gir en angriper mulighet til å samle informasjon om systemet, skanne nettverk, kjøre kommandoer og laste ned og opp filer, forklarer Chris Risvik. 📸: Mnemonic
En bakdør gir en angriper mulighet til å samle informasjon om systemet, skanne nettverk, kjøre kommandoer og laste ned og opp filer, forklarer Chris Risvik. 📸: Mnemonic Vis mer

Sikkerhetsanalytikere har oppdaget en ukjent bakdør til Linux som blir brukt av en trusselaktør tilknyttet kinesiske myndigheter, skrev Ars Technica tidligere denne måneden.

Linux-skadevaren har opphav i en Windows-bakdør kalt Trochilus. Flere av funksjonene til sistnevnte er portet.

- Det som er unikt er at den har SOCKS proxy som en fremhevet egenskap, og at den kjører på Linux, sier Chris Risvik, leder av Mnemonics "purple" og "red team"-initiativer, til kode24.

Stadig flere bakdører

Kort forklart er en bakdør en form for skadevare som gir angriperen ikke-autorisert tilgang og mulighet til å fjernstyre et datasystem etter å ha brutt seg inn.

- Det gir typisk en angriper mulighet til å samle informasjon om systemet, skanne nettverk, kjøre kommandoer og laste ned og opp filer. Altså alle egenskaper en angriper trenger, sier Risvik.

Risvik sier at de ser stadig mer avanserte varianter som krypterer i det skjulte og lar angriperne holde både aktiviteten bak bakdøren og bakdøren i seg selv skjult.

- Så ser vi også at det utvikler seg, og det har kommet flere bakdører som funker bra på Linux, macOS og Windows.

«Har du fått inn bakdøren og startet proxy-en har du laget en vei inn som gir mye fleksibilitet.»

Utnytter SOCKS proxy

Ifølge Risvik er årsaken til at akkurat denne bakdøren har fått oppmerksomhet at det er en helt ny variant av en bakdør som tidligere har blitt brukt av en trusselgruppe tilknyttet kinesiske myndigheter.

- Den har noen egenskaper som ikke er unike, men som heller ikke er vanlig.

Noe av det som gjør bakdøren spesiell er at den utnytter den såkalte SOCKS proxy-en. Dette er ifølge Risvik en legitim systemprotokoll som gjør lingende ting som en VPN.

- Den gir tilgang til et internt nett fra utsiden. Proxy-en kan også brukes til å komme seg forbi internett-filtrering og skjuler IP-adressen din, sier Risvik.

Dette lar i praksis en angriper dirigere sin nettverkstrafikk via den infiserte maskinen - uten å måtte kjøre kode og kommandoer direkte på maskinen.

- Har du fått inn bakdøren og startet proxy-en har du laget en vei inn som gir mye fleksibilitet, sier Risvik.

Vanskelig å oppdage

En av årsakene til at angriperen kan holde seg skjult er at mye av dagens deteksjon skjer via såkalte EDR-løsninger, som overvåker endepunkter.

Som er gode på å oppdage mye av det som skjer på endepunkt.

- De kan oppdage rare systemkall og filer som blir lastet opp og ned.

Men når alt i blir startet utenfra og "tunnellert" innover, blir det betydelig vanskeligere for forsvarerne å se hva som faktisk foregår. Ifølge Risvik føyer angrepet seg inn i en trend innenfor sikkerhetstesting kalt "Living of the Land".

- Her prøver man å bruke legitime systemadministrator-verktøy til å angripe og trenger ikke laste inn så mye som kan oppdages. Man kommer langt med å bare bruke adminverktøyene for å ta over et nettverk, sier Risvik.

«Hackergrupper er motivert av penger og spionasje.»

Stjeler data og penger

- Hva kan konsekvensene av denne typen bakdører være?

- En trusselaktør kan potensielt etablere seg i nettverket ditt og skjule tilgangen på en måte som er vanskelig å oppdage. Dersom angriperen lykkes, kan den stjele data og penger, sier Risvik.

I dette konkrete tilfellet, hvor hackerne er tilknyttet kinesiske myndigheter, sier Risvik de først og fremst er motivert av penger og spionasje. Han legger til at denne bakdøren først og fremst brukes til å angripe store organisasjoner og selskaper.

- Hackergrupper er motivert av penger og spionasje. Ettersom disse er støttet av en stormakt, angriper de sannsynligvis høyverdi-mål, som transpport-, helse-, og IT-sektoren.

Må beskytte Linux PC-en din

Risvik nevner en myte som florerte for noen år siden: At man ikke trengte antivirus på Mac og Linux.

- Denne oppfatningen har endret seg. Alle operativsystemer har innebygde svakheter som angripere kan utnytte, sier Risvik.

Han legger til at alle selskaper kan bli utsatt for målrettede cyberangrep, uavhengig av operativsystem.

- Vi ser nå bevis på at trusselaktører lager skadevare spesifikt for Linux og Mac. Sikkerhetsverktøy får også stadig bedre støtte for Mac og Linux. Ingen IT-eksperter vil i dag si at du ikke trenger å beskytte din Linux-maskin, sier Risvik.