Создатели Duqu: профессиональные кодеры, новички в Linux
Червь Duqu, нацеленный на промышленные предприятия во всем мире, был создан хорошо финансируемой командой компетентных кодеров, но их управление серверами на Linux привело к некоторым крайне любопытным ошибкам.
Согласно отчету, опубликованному в среду исследователями из “Лаборатории Касперского”, неизвестные взломщики попытались провести глобальную чистку десяти или более взломанных ими Linux-серверов, которые они использовали для управления системами, инфицированными Duqu. Массовая очистка на машинах под CentOS 5.x была запущена 20 октября, через два дня после этого исследователи публично сравнили Duqu с червем Stuxnet, который саботировал ядерную программу Ирана. Предполагается, что таким образом хакеры пытались замести свои следы.
В спешке, хакеры, похоже, совершили ряд критических ошибок. На серверах во Вьетнаме и Германии остались частично сохранившееся логи хакерских SSH и bash-сессий, оставшиеся на разделах.
“Это было довольно неожиданно, и это отличный урок, касающийся свойств Linux и файловой системы ext3“, – написал исследователь из Kaspersky Lab Виталий Камлюк. “Удаление файлов не гарантирует того, что после этого не останется никаких следов или их частей. Причиной этого является то, что Linux постоянно перераспределяет часто используемые файлы для уменьшения фрагментации”.
Файлы sshd.log показали, что хакеры авторизовывались на машине, находящейся во Вьетнаме, в июле и в октябре, как раз перед массовой очисткой. Система, расположенная в Германии, также сохранила следы доступа, произошедшего 23 ноября 2009 года и, адресованное пользователю сообщение об ошибке. Оно содержало информацию о том, что перенаправление трафика на порты 80 и 443 не удалось. Таких следов было немного, но достаточно для того, чтобы понять, что сервера не являлись настоящими контрольными центрами, а работали вроде прокси-серверов, призваных скрыть истинное местонахождение нападавших.
Используя подобные методы, исследователи из “Лаборатории Касперского” обнаружили, что на каждом взломанном сервере было установлено приложение OpenSSH 4.3, обновленное до версии 5.8. Восстановленная баш-история машины из Германии также показала, что нападающим нужно повысить свою квалификацию в базовом администрировании Linux. В один момент они обращались к руководству по sshd_config, а на другом этапе им нужно было проверить документацию для FTP-клиента. Они также неудачно писали команды для Linux iptables.
Кроме того, нападавшие оставили следы изменений, которые они внесли в конфигурационный файл sshd. Одно из них ускоряет перенаправление порта, это изменение достаточно простое, чтобы его освоить. Другое – запускает Kerberos-аутентификацию. Исследователи до сих пор не уверены, что послужило мотивом для последней модификации.
Пока, говорят исследователи, они проанализировали лишь малую часть взломанных серверов, которые были расположены, в том числе, в Сингапуре, Швейцарии, Великобритании, Нидерландах, Бельгии и Южной Корее. Будет интересно посмотреть, какие доказательства они смогут добыть из этих машин.