Kampania Cyberwywiadowcza Wykorzystująca Nowe Złośliwe Oprogramowanie Linux

ESET ujawnia złośliwe oprogramowanie Linux powiązane z chińską grupą Gelsemium, w której skład wchodzą backdoory WolfsBane i FireWood, które mają na celu wykradzenie wrażliwych danych dla celów cyberwywiadu.

ESET Badacze z dziedziny cyberbezpieczeństwa odkryli nowy rodzaj złośliwego oprogramowania przeznaczonego dla systemów Linux, nazwanego „WolfsBane”, który, jak sądzą, jest powiązany z chińską grupą hakerów o nazwie Gelsemium.

Ta grupa, znana z zaawansowanych ataków, jest aktywna od 2014 roku, koncentrując się głównie na systemach Windows. To nowe oprogramowanie szkodliwe oznacza pierwsze powiązanie Gelsemium z Linuxem, platformą, na którą coraz częściej polują hakerzy, mówi ESET.

ESET informuje, że backdoor WolfsBane jest podobny do wcześniejszego malware, Gelsevirine, używanego przez Gelsemium do nieautoryzowanego dostępu do systemów.

Oba narzędzia mają wspólne kluczowe funkcje, w tym sposób, w jaki komunikują się z serwerami kontrolowanymi przez hakerów, wykonują polecenia i ukrywają swoją obecność w zainfekowanych systemach.

WolfsBane korzysta ze specjalistycznej biblioteki i metod szyfrowania, aby uniknąć wykrycia, co pozwala hakerom monitorować system ofiary i kradnąć wrażliwe informacje przez dłuższy czas bez zauważenia, mówi ESET.

Obok WolfsBane, badacze znaleźli również inne złośliwe oprogramowanie o nazwie „FireWood”, które również może być powiązane z Gelsemium, choć to powiązanie jest mniej pewne.

FireWood ma wiele wspólnego z malwarem używanym w przeszłości przez grupę w atakach cybernetycznych, w tym strukturę i metody szyfrowania. Jednak z powodu możliwości współużytkowania narzędzi między różnymi grupami hakerów, powiązanie z Gelsemium nie jest potwierdzone – informuje ESET.

ESET wyjaśnia, że te narzędzia malware zostały zaprojektowane do cyber szpiegostwa, pozwalając atakującym na kradzież danych systemowych, poświadczeń i plików.

Zmiana w kierunku malware na Linuxa następuje, gdy hakerzy szukają nowych wektorów ataku po zwiększeniu środków bezpieczeństwa w systemach Windows, takich jak narzędzia do wykrywania końcówek oraz zmiany w zabezpieczeniach e-mail Microsoftu. ESET zauważa, że wiele systemów dostępnych przez internet działa na Linuxie, co czyni je atrakcyjnym celem dla cyberprzestępców.

Oprogramowanie szkodliwe zostało znalezione w archiwach przesłanych do VirusTotal, usługi używanej przez ekspertów ds. bezpieczeństwa do analizy podejrzanych plików, i wygląda na to, że zostało wdrożone na serwerach na Tajwanie, Filipinach i w Singapurze. Śledztwo sugeruje, że hakerzy mogli zyskać dostęp do tych serwerów poprzez luki w aplikacjach internetowych.

Podczas gdy badacze z ESET nadal analizują oprogramowanie szkodliwe, potwierdzili, że atakujący używają zaawansowanych technik, aby utrzymać długoterminowy dostęp do skompromitowanych systemów, co czyni je trudnymi do wykrycia i usunięcia.

Odkrycie WolfsBane i FireWood podkreśla rosnące zagrożenie cyberatakami skierowanymi na Linuxa, co podkreśla potrzebę wzmocnienia środków bezpieczeństwa na wszystkich platformach.