Защитные системы докладывают об успехах, пока взломщики тихо хозяйничают в вашей сети.
Новый Linux-имплант Quasar Linux угрожает не только отдельным рабочим станциям, но и всей цепочке разработки ПО. Вредоносный набор нацелен на среды, где создают, собирают и публикуют код, поэтому украденные доступы могут быстро превратиться в атаку на пользователей популярных репозиториев и облачных сервисов.
Специалисты Trend Micro изучили ранее не описанный имплант Quasar Linux, также известный как QLNX. Вредоносная программа сочетает функции руткита, бэкдора и инструмента для кражи учётных данных. По данным компании, QLNX разворачивают в средах разработки и DevOps, связанных с npm, PyPI, GitHub, AWS, Docker и Kubernetes.
Главная опасность такого подхода связана с доступом к ключам, токенам и настройкам, которые лежат в основе сборки и доставки ПО. Получив контроль над рабочей станцией разработчика, злоумышленники могут обойти часть корпоративных средств защиты и использовать украденные данные для публикации заражённых пакетов в открытых репозиториях.
QLNX рассчитан на скрытную работу и долгую жизнь в системе. Имплант работает в памяти, удаляет исходный бинарный файл с диска, чистит журналы, маскирует имена процессов и стирает следы, которые могли бы помочь при расследовании. Trend Micro указывает, что вредоносная программа прямо на заражённом хосте компилирует компоненты руткита и PAM-модули для бэкдора через GNU Compiler Collection.
Не спрашивайте почему мы в MAX.
Для закрепления QLNX использует сразу семь механизмов, включая LD_PRELOAD, systemd, crontab, init.d, XDG autostart и внедрение в .bashrc. Такой набор помогает вредоносной программе загружаться в динамически связанные процессы и восстанавливаться после попыток завершить работу.
Функциональность импланта покрывает почти весь цикл атаки. QLNX даёт оператору удалённую оболочку, управляет файлами и процессами, поддерживает связь с командным сервером по TCP/TLS или HTTP/S, скрывает процессы, файлы и сетевые порты через пользовательский руткит и eBPF-компонент на уровне ядра.
Отдельные модули крадут SSH-ключи, браузерные данные, облачные и конфигурации разработчиков, содержимое /etc/shadow и буфер обмена, а также перехватывают учётные данные через PAM. Аналогичный по направленности инцидент недавно был зафиксирован в экосистеме PyPI: заражённый пакет искал SSH-ключи, токены AWS и секреты Kubernetes прямо в окружении разработчика.
Вредоносный набор также умеет записывать нажатия клавиш, делать скриншоты, отслеживать файловую активность через inotify, строить TCP-туннели, поднимать SOCKS-прокси, сканировать порты и перемещаться по инфраструктуре через SSH. Поддержка одноранговой сети помогает сохранять управление даже при сбоях отдельных узлов.
Trend Micro не раскрыла сведения о конкретных атаках и не связала QLNX с какой-либо группировкой. Масштаб применения импланта пока неизвестен. На момент публикации вредоносный бинарный файл определяли только четыре защитных решения, а компания передала индикаторы компрометации для поиска заражений. Риски для цепочки поставок ПО подобного рода угроз фиксирует и отечественная отрасль: Positive Technologies недавно обновила свой сервис для отслеживания вредоносных и уже удалённых релизов проектов с открытым исходным кодом.