Na linuxových systémech byla odhalena závažná zadní vrátka s označením Plague, která dokázala zůstat skryta více než rok. Tento škodlivý kód je implementován jako podvržený modul PAM (Pluggable Authentication Module), jenž útočníkům umožňuje obejít standardní ověřovací procesy a získat trvalý přístup prostřednictvím protokolu SSH.

Pluggable Authentication Modules jsou součástí architektury Linuxu a UNIXu a zajišťují správu uživatelského přihlašování. Pokud se do systému dostane škodlivý modul, může nejen krást přihlašovací údaje, ale také potlačit autentizační kontroly a zůstat neviditelný pro bezpečnostní nástroje. Analýza ukázala, že varianta Plague byla nahrána na platformu VirusTotal už koncem července 2024, aniž by ji některý z antivirových systémů rozpoznal. Objev více odlišných vzorků navíc naznačuje, že malware je stále aktivně vyvíjen.

Plague se vyznačuje vysokou úrovní neviditelnosti. Pro skrytý přístup využívá statické přihlašovací údaje a ztěžuje analýzu pomocí obfuskace a anti-debug technik. Při provozu navíc potlačuje auditní stopy – proměnné prostředí spojené s relací SSH jsou zneplatněny a soubor s historií příkazů je přesměrován do /dev/null. Tím se eliminuje možnost zpětného dohledání uživatelských příkazů.

Podle expertů se Plague integruje tak hluboko do autentizační vrstvy, že přežívá i systémové aktualizace a zanechává jen minimum forenzních stop. V kombinaci s vícevrstvou obfuskací a manipulací prostředí představuje tento malware jeden z nejnebezpečnějších útoků cílených na linuxové servery za poslední období.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS