Рубрика «Ebury»

В феврале 2014 года вирусная лаборатория ESET представила исследование OpenSSH бэкдора и вредоносной программы Linux/Ebury для кражи учетных данных. Дальнейшее исследование показало, что этот компонент является ядром набора из нескольких семейств вредоносных программ, задействованных в «Операции Windigo». Открытие легло в основу отчета, описывающего эту киберкампанию.

Операция Windigo: обновление Linux-Ebury - 1

В феврале 2017 года мы обнаружили образец Ebury с поддержкой новых функций. Номер новой версии – 1.6.2а. На момент обнаружения этого образца последней известной нам версией была 1.5.х, выявленная несколькими месяцами ранее. В ходе дальнейшего расследования мы поняли, что инфраструктура, отвечающая за кражу учетных данных, все еще функционирует, и Ebury активно используется кибергруппой Windigo.

Первоначально мы перечисляли индикаторы компрометации (IoC) для версии 1.4 Ebury. CERT-Bund опубликовал IoC для версии 1.5. В данном посте представлен технический анализ версии 1.6, открытой в феврале 2017 года, а также IoC для версий 1.5 и 1.6.

Читать полностью »

Три года назад ESET опубликовала отчет об операции Windigo – вредоносной кампании, результатом которой стала компрометация десятков тысяч Linux и UNIX серверов. На этой неделе один из подозреваемых в кибератаках, Максим Сенах из Великого Новгорода, в американском суде признал свою вину в нарушении закона о компьютерном мошенничестве и злоупотреблении (CFAA).

image

Читать полностью »

Найден программист, взломавший kernel.org в 2011 году - 1

28 августа 2011 года сообщество Linux было слегка потрясено, узнав о взломе kernel.org — основного сервера для распространения исходного кода ядра Linux, главного места хостинга репозиториев ядра и разных дистрибутивов Linux. На kernel.org обнаружился троян с рутовым доступом, который оставался незамеченным в течение 17 дней. Его обнаружили благодаря сообщениям об ошибках в Xnest /dev/mem на машинах без установленной системы X Window.

Троян записывал пароли, вёл лог действий пользователей, предоставлял root-доступ и модифицировал ПО на сервере kernel.org.

Системный администратор kernel.org сообщил, что были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), а загрузчик трояна добавлен в стандартный скрипт загрузки сервисов rc3.d. Сайты kernel.org и git.kernel.org ушли в офлайн на 35 дней.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js