Palo Alto Network сообщает о бэкдоре Fysbis на Linux

Fysbis (Linux.BackDoor.Fysbis) - так называется новое семейство вредоносного ПО, нацеленного на систему Linux. Устанавливаемые бэкдоры позволяют шпионить за пользователями и производить другие виды атак. Первые сведения о Fysbis относятся к ноябрю 2014 года, но лишь недавно исследователи из компании Palo Alto Network узнали о принципе работы и возможном источнике угрозы.

Продолжительное расследование показало, что это не простой вирус для распространения рекламы, получения доступа к сведениям банковских операций или добыче криптовалюты, но более сложная кампания кибершпионажа. Простые пользователи и любители играть в системе Steam не входят в группу риска, в отличие от сотрудников правительственных организаций, датацентров, серверов и т.д.

В Palo Alto Network считают, что за Fysbis стоит группировка APT 28, которую прежде связывали с атаками на правительства, некоммерческие организации и мультинациональные корпорации, банки и финансовые учреждения. В коде найдено множество русских слов, на основе которых делается вывод о национальной принадлежности хакеров.

Вредоносный код способен работать как с рут-правами, так и без них. Доступны 32- и 64-разрядные версии, после установки выполняется ряд тестов на доступные в данной учётной записи возможности, результаты передаются на удалённый сервер. Атакующие могут выполнять команды, фиксировать нажимаемые пользователем клавиши, искать, читать, сохранять, запускать и удалять файлы. Модульная структура позволяет при необходимости расширять функциональные возможности приложения.