Foto: Freepik
Neznamená to ale, že by nebyl napadnutelný. Celá historie hackerských útoků je velice obsáhlá a složitá, a proto ji pro potřeby tohoto článku výrazně zjednoduším. Řeč bude o viru známém jako Trochilus, který se objevil již v roce 2015 a dneska se mu říká Netscout. Podle odborníků z NHS Digital byl tento vir vyvinut společností APT10, která má být napojená na čínskou vládu.
Kód pro tento vir je navíc volně dostupný na GitHubu a je nyní poměrně hojně využíván jako součást různých malwarových kampaní. Letos v červnu prohledávali bezpečnostní experti ze společnosti Trend Micro zašifrovaný binární soubor, který prý tato skupina používá.
Foto: Freepik
Během svého zkoumání a hledání našli také spustitelný soubor pro Linux s názvem „mkmon“. Tento soubor pak obsahoval přihlašovací údaje pro dešifrování souboru libmonitor.so.2 a dokázal obnovit jeho původní obsah. Přeloženo do normálního jazyka – mkmon je instalační soubor, kterým se instaluje vir.
Tento nový linuxový malware vlastně zkombinoval Trochilus se Socket Secure. Tento kříženec byl pak pojmenován SprySOCKS („spry“ odpovídá jeho rychlosti na komponentě SOCKS). SprySOCKS pak dokáže naimplementovat standardní zadní vrátka a přes ně shromažďovat systémové informace, otevřít vzdálený shell, vypsat síťové připojení či vytvořit proxy. V přiložené tabulce pak vidíte ukázku některých možných funkcí.
Zdroj: ArsTechnica.com (odkaz)
ID ZPRÁVY | POZNÁMKY |
|---|---|
0x09 | Získá informace o stroji |
0x0a | Spustí interaktivní shell |
0x0b | Zapisuje data do interaktivního shellu |
0x0d | Zastaví interaktivní shell |
0x0e | Vypisuje síťová připojení (parametry: „ip“, „port“, „commName“, „connectType“) |
0x0f | Odešle paket (parametr: „target“) |
0x14, 0x19 | Odešle inicializační paket |
