טרוייאני חדש צובר תאוצה ומאיים על משתמשי לינוקס

צוות עבריינים רוסי הציב לו למטרה את לינוקס והוא מתכוון לעשות מזה כסף ולא מעט. הכירו את Hand of Thief שמכוון ישירות לחשבון הבנק שלכם.

Shutterstock

מאת לימור קסם, מומחית להונאות סייבר ב-RSA, חטיבת אבטחת המידע של EMC.

שבועות בודדים חלפו מאז דווחנו על זמינותו המסחרית של KINS הטרויאני התוקף לקוחות של בנקאות מקוונת, וכבר נראה שצוות עברייני-סייבר מרוסיה הציב לו מטרה חדשה – טרויאני שמיועד לתקוף על גבי מערכת ההפעלה לינוקס. ככל הנראה מדובר בפרוייקט פיתוח מסחרי, אשר כולל סוכני תמיכה/מכירות ומפתחי תוכנה שישווקו את התוכנה הזדונית בשוק השחור של הרשת.

יד הגנב

Hand of Thief הוא טרויאני שנוצר בכדי לגנוב מידע ממשתמשים של מערכות הפועלות על לינוקס. תוכנה זדונית זו מוצעת בימים אלה למכירה בקהילות עבריינים מקוונות תמורת 2,000 דולר, כולל עדכונים ללא תשלום נוסף. ההערכה היא שבקרוב צפוי טרויאני זה לכלול חבילה חדשה של הזרקות קוד לדפדפן האינטרנט, מה שיכול להפוך אותו לנוזקה בנקאית מן השורה. כאשר זה יקרה, המחיר של הטרויאני צפוי לעלות ל-3,000 דולר, בתוספת סכום של 550 דולר לכל עדכון גירסה. מחירים אלה תואמים את אלה שמציגים מפתחים המשחררים נוזקות דומות למערכת ההפעלה חלונות, והופכת את Hand of Thief לטרויאני שמתומחר בסכום גבוה יחסית מזה המקובל בשוק, בעיקר בהתחשב בקהל המשתמשים הקטן יחסית של לינוקס.

מפתחיו של Hand of Thief טוענים שהוא נבדק על גבי 15 הפצות שונות של לינוקס, לרבות אובונטו, פדורה ודיביאן. בכל הנוגע לסביבות לינוקס, הנוזקה תומכת בשמונה סביבות שונות, לרבות Gnome ו-KDE. התשתית של הטרויאני אוספת קומבינציות של משתמש וסיסמא ומאחסנת את המידע במסד נתונים מסוג MySQL. המידע הגנוב כולל פרטים כגון חותמת זמן, גרסאת התוכנה המותקנת אצל המשתמש, האתרים שבהם ביקר המשתמש ונתוני HTTP POST. ה-Hand of Thief מציע גם אפשרות לגניבת 'עוגיות' (cookies) בהן משתמשים פושעים על מנת לחטוף שיחות חיות בין שרתי הבנק ללקוח.

כמה מהתכונות הראשוניות של הטרויאני כוללות:

  • גניבת פרטים מטפסים בשיחות מבוססות HTTP ו-HTTPS; הדפדפנים הנתמכים כוללים את פיירפוקס, גוגל כרום וכן כמה דפדפנים אחרים מבוססי לינוקס, כמו כרומיום, אורורה ו-Ice Weasel.
  • רשימת חסימות המונעת גישה לכתובות אינטרנט מוגדרות מראש (היישום דומה לשיטת העבודה שעליה מבוסס הטרויאני Citadel, על מנת לבודד מחשבים מודבקים מעדכוני אבטחה וספקי תוכנות אנטי-וירוס).
  • פרצות אבטחה, backconnect ו-SOCKS5 proxy.
  • ארגז כלים המונע הרצה בסיבבת מחקר, כולל בדיקות אנטי VM, אנטי ארגז חול (sandbox) ואנטי-סניפר (WireShark).

המפתח של התוכנה הזדונית כתב ממשק ניהול בסיסי המאפשר למי ששולט בבוט-נט לראות את רשימת הבוטים, להשתמש בממשק שאילתות וכן לנהל שליטה ופקודות בסיסיות על המחשבים המודבקים.

למרות ש-Hand of Thief מגיע לשוק הנוכלים בתקופה שבה יש ביקוש רב לטרויאנים מסחריים, פיתוח נוזקות למערכת ההפעלה לינוקס אינו נפוץ ומסיבה טובה. בהשוואה לחלונות, בסיס המשתמשים של לינוקס קטן יותר, ולכן מפחית במידה ניכרת את מספר הקורבנות הפוטנציאלי וכתוצאה מכך, גם את פונטציאל הרווחים מההונאה. שנית, מאחר שלינוקס היא תוכנת קוד פתוח, הפרצות שלה מתוקנות במהירות רבה יחסית על ידי קהילת המשתמשים. העובדה שאין חבילות אקספלויטים (פגיעויות, Zero Days) רבות המיועדות לפלטפורמה זו מהווה הוכחה לכך. למעשה, בעת שיחה עם סוכן המכירות של הנוזקה, הוא עצמו הציע להשתמש בדואר אלקטרוני ובמניפוליציות על המשתמש כאמצעי להדבקה.

אז מה השלב הבא? בלי היכולת להפיץ את הנוזקה בצורה נרחבת כמו זו שמאפשרת פלטפורמת חלונות, תג המחיר נראה גבוה ומעלה את השאלה: האם טרויאני ללינוקס הוא בעל אותו ערך כמו טרויאנים המיועדים לחלונות?

בנוסף, לאור ההמלצות שנשמעות בתקופה האחרונה, לעזוב את מערכת ההפעלה הבלתי בטוחה לכאורה חלונות, לטובת הפצות לינוקס מאובטחות יותר, נשאלת השאלה האם Hand of Thief מייצג את הסימנים המוקדמים לכך שלינוקס הופכת פחות בטוחה ככל שהעבריינות המקוונת מהגרת אל הפלטפורמה?

קרדיט תמונה: Tojan Horse via Shutterstock.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

6 Comments on "טרוייאני חדש צובר תאוצה ומאיים על משתמשי לינוקס"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
משה
Guest
לימור קסם, בתור מומחית להונאות סייבר ב-RSA, הייתי מצפה לפחות לקישור או התייחסות קטנטנה למחקר שפרסם יותם גוטסמן בRSA (וואלה, זה אותו גוף?) : RSA Peeks into the Bits of New Linux-based Trojan Hand of Thief #INTH3WILD ולפחות חצי או רבע מילה ביחס לחוסר היכולת של הסוס הטרויאני הזה להדביק משהו. "RSA’s in-depth analysis of the code proves it is a prototype more than true commercially viable malware, crashing the browsers on the infected machines and displaying overall inability to properly grab data. Furthermore, HoT can also be easily removed from the machine by deleting the files dropped during the… Read more »
יבגני
Guest

בווינדוס זה לא היה קורה

מומו
Guest

בווינדוס זה קורה כל הזמן והרבה!!!!

אוריאל
Guest

אם משתמש לינוקס אחד ידבק בסוס טרואיני הזה אני צנצנת.
מעניין למי יש אינטרס בכתבה הזו?

עוצר באמצע
Guest

הפסקתי לקרוא אחרי "דפדפנים אחרים מבוססי לינוקס"

imTheBest
Guest

"לימור קסם, מומחית להונאות סייבר ב-RSA,"

אני מעריך שאחרי שתשתמשי בלינוקס תביני שמשתמשי לינוקס לא תמימים
גם אם אותו trojan ידביק לינוקס כמה זמן הוא יכול לשרוד בלי להתגלות?
3000 ל – trojan ?
סקריפט קצר ב – python יעשה את העבודה

"לדעת מושגים באבטחת מידע לא עושה אותך מומחה אבטת מידע"

wpDiscuz

תגיות לכתבה: