感染したマシンやサーバーへのバックドアを作成する新種の「Linux」マルウェアが発見された。このマルウェアは、サイバー犯罪者が機密情報をこっそり盗むことを可能にするだけでなく、ネットワーク上で永続性を維持する。
提供:Getty Images
今回初めて検出されたこのマルウェアは、「OrBit」と呼ばれている。Intezerによると、OrBitが実行コマンドの出力を一時的に保存するために使用するファイル名が、その名称の由来であるという。
Linuxは、サーバーやクラウドインフラストラクチャーで人気の高いOSであり、サイバー犯罪者にとって魅力的な標的となっている。
OrBitマルウェアによって、サイバー犯罪者は、Linuxシステムへリモートアクセスしてユーザー名とパスワードを盗んだり、ttyコマンドをログに記録したりできるようになる。
これに加えて、マルウェアはマシン上で実行中のプロセスに感染させることもできるため、最終的にハッカーがシステムを乗っ取って情報を監視および窃取することを可能にするだけでなく、侵害したシステムへのバックドアも維持できる。
インストールされたOrBitは、マシンへのリモート接続をセットアップし、Linux Pluggable Authentication Module(PAM)の関数をフックする。これにより、OrBitはネットワーク活動を被害者に検出されないようにしながら、SSH(Secure Shell Protocol)接続から情報を窃取し、攻撃者にリモートアクセスを提供できるようになる。
さらに、OrBitは永続性が高くなるように設計されているため、実行中に、感染したマシンから削除するのは困難である。これは、ほかのプロセスの前に同マルウェアを読み込むよう指示することで、削除を難しくしているためだ。
また、OrBitは、出力を操作し、悪意ある活動が記録されないようにすることで、自らの存在を明らかにする情報が検出されるのを防いでいる。
IntezerのマルウェアアナリストNicole Fishbein氏は、「ほかの脅威と違って、このマルウェアはさまざまなコマンドやユーティリティーから情報を窃取し、マシン上の特定のファイルに保存する」と述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。