Он жил в ядре Linux год — и никто об этом даже не догадывался
NewsMakerКак Plague умудряется воровать пароли в обход всех журналов и логов?
В течение года вредоносный модуль под названием Plague оставался незаметным для средств защиты Linux-систем, несмотря на его активное распространение и глубокую интеграцию в критическую часть системы — стек аутентификации. Обнаружить его удалось лишь благодаря анализу артефактов, загруженных на VirusTotal в конце июля 2024 года. Ни один из них до сих пор не распознан антивирусами как угроза, что указывает на крайне высокий уровень маскировки и осторожности разработчиков.
По данным специалистов Nextron Systems, Plague маскируется под легитимный компонент PAM — системы модульной аутентификации, которая играет ключевую роль в управлении доступом ко всем сервисам Linux и UNIX. Встраиваясь в эти процессы, вредоносный код получает те же привилегии, что и штатные модули, и может практически незаметно для системы обходить проверки подлинности. Это открывает злоумышленникам постоянный удалённый доступ через SSH, а также возможность перехватывать логины и пароли пользователей без какого-либо уведомления или следов.
Особое внимание специалисты обратили на то, что Plague разработан с учётом устойчивости к анализу. Он использует антиотладочные методы, скрывает строки и системные вызовы, а также манипулирует переменными окружения, связанными с SSH-подключениями. Вредоносный код удаляет такие переменные, как SSH_CONNECTION и SSH_CLIENT, с помощью функции unsetenv, а историю команд перенаправляет в /dev/null, чтобы исключить запись в файл HISTFILE. Это делает невозможным последующий аудит активности через стандартные журналы оболочки.
Особенность данного модуля — его устойчивость к системным обновлениям. Благодаря глубокому внедрению в PAM-инфраструктуру, Plague сохраняет своё присутствие даже после перезапуска служб и установки новых пакетов. Такой уровень постоянства вкупе с невидимостью делает его крайне опасным, особенно в корпоративной среде, где PAM часто остаётся недосягаемым для регулярных сканеров угроз.
Кроме того, эксперты из Nextron Systems обнаружили сразу несколько версий вредоносного модуля, что указывает на активную фазу разработки и возможное тестирование различных конфигураций на реальных системах. Это может означать подготовку к более масштабной кампании или уже идущую атаку на целевые инфраструктуры.
Plague — это не просто очередной вредонос для Linux, а симптом нового уровня угроз, где атака начинается не с эксплуатации уязвимости, а с подмены доверенных компонентов системы. Такой подход особенно тревожен, учитывая слабую видимость PAM-модулей в стандартных средствах мониторинга и недостаточную защищённость их цепочек загрузки. Учитывая возможность полной эмуляции нормальной работы и полное отсутствие следов, Plague может оставаться невидимым годами — однажды это уже случилось.
В течение года вредоносный модуль под названием Plague оставался незаметным для средств защиты Linux-систем, несмотря на его активное распространение и глубокую интеграцию в критическую часть системы — стек аутентификации. Обнаружить его удалось лишь благодаря анализу артефактов, загруженных на VirusTotal в конце июля 2024 года. Ни один из них до сих пор не распознан антивирусами как угроза, что указывает на крайне высокий уровень маскировки и осторожности разработчиков.
По данным специалистов Nextron Systems, Plague маскируется под легитимный компонент PAM — системы модульной аутентификации, которая играет ключевую роль в управлении доступом ко всем сервисам Linux и UNIX. Встраиваясь в эти процессы, вредоносный код получает те же привилегии, что и штатные модули, и может практически незаметно для системы обходить проверки подлинности. Это открывает злоумышленникам постоянный удалённый доступ через SSH, а также возможность перехватывать логины и пароли пользователей без какого-либо уведомления или следов.
Особое внимание специалисты обратили на то, что Plague разработан с учётом устойчивости к анализу. Он использует антиотладочные методы, скрывает строки и системные вызовы, а также манипулирует переменными окружения, связанными с SSH-подключениями. Вредоносный код удаляет такие переменные, как SSH_CONNECTION и SSH_CLIENT, с помощью функции unsetenv, а историю команд перенаправляет в /dev/null, чтобы исключить запись в файл HISTFILE. Это делает невозможным последующий аудит активности через стандартные журналы оболочки.
Особенность данного модуля — его устойчивость к системным обновлениям. Благодаря глубокому внедрению в PAM-инфраструктуру, Plague сохраняет своё присутствие даже после перезапуска служб и установки новых пакетов. Такой уровень постоянства вкупе с невидимостью делает его крайне опасным, особенно в корпоративной среде, где PAM часто остаётся недосягаемым для регулярных сканеров угроз.
Кроме того, эксперты из Nextron Systems обнаружили сразу несколько версий вредоносного модуля, что указывает на активную фазу разработки и возможное тестирование различных конфигураций на реальных системах. Это может означать подготовку к более масштабной кампании или уже идущую атаку на целевые инфраструктуры.
Plague — это не просто очередной вредонос для Linux, а симптом нового уровня угроз, где атака начинается не с эксплуатации уязвимости, а с подмены доверенных компонентов системы. Такой подход особенно тревожен, учитывая слабую видимость PAM-модулей в стандартных средствах мониторинга и недостаточную защищённость их цепочек загрузки. Учитывая возможность полной эмуляции нормальной работы и полное отсутствие следов, Plague может оставаться невидимым годами — однажды это уже случилось.