Бэкдор Fokirtor для Linux может скрываться в SSH.

В мае этого года внутренняя сеть одного крупного провайдера подверглась атаке хакеров. Расследование этого инцидента взяла на себя компания Symantec. В результате атаки злоумышленники получили доступ к конфиденциальной информации пользователей, в том числе к паролям и почтовым адресам, правда, в зашифрованном виде. Кроме того специалисты предполагают что взломщики получили так же и ключи шифрования.

В связи с тем, что злоумышленники проводили направленную атаку и осознавали степень защиты сети — ими был придуман отличный способ маскировки бэкдора Fokirtor в SSH и другие процессы сервера работающего под управление операционной системы Linux.

Как удалось выяснить в процессе анализа воздействия троянца на сервер вирус не связывался с C&C-сервером а сразу внедрялся в процесс SSH и мониторил сетевой трафик выуживая из него шифрованные данные по средствам поиска комбинации символов «:!;.».