Linuxos felhasználókat fenyeget az EvilGnome kémporgram

 ( Wooody | 2019. július 22., hétfő - 9:02 )

https://nki.gov.hu/it-biztonsag/hirek/linuxos-felhasznalokat-fenyeget-az-evilgnome-kemprogram/

Biztonsági kutatók felfedeztek egy kiterjedt képességekkel rendelkező új linuxos kémprogramot (EvilGnome), amelyet az antivírus szoftverek jelenleg nem képesek azonosítani. Linux rendszerekre – a Windowshoz képest – alapvetően kevés kártevő készül, ami egyrészt az architektúra jellegéből adódik, másrészt abból, hogy ezt az operációs rendszert jóval kevesebben használják. A linuxos malware-ek jelentős részére inkább az a jellemző, hogy a fertőzött eszközökön kriptovaluta bányászatot végeznek, vagy azokat DDoS botnet hálózatba kapcsolják.

Az Intezer Labs által ─ a fejlesztők hibájából ─ felfedezett backdoor azonban több olyan modullal bír, amelyek segítségével képes kémkedni a Linux felhasználók után, például képernyőmentést és hangfelvételt készíteni. Habár a védelmi szoftverek még nem képesek detektálni a káros kódot, a fertőzés indikátora amennyiben a ~/.cache/gnome-software/gnome-shell-extensions könyvtárban megjelenik a „gnome-shell-ext” nevű futtatható állomány. A kutatók szerint a vírus az orosz Gamaredon APT csoporthoz köthető, amely kollektíva 2013 óta aktív, és többek között ukrán kormányzati dolgozók elleni támadásokért teszik felelőssé.

(thehackernews.com)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

és kiderült már róla, hogy csak gnome-al megy? :)

Úgy tűnik :D
---
- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Mondjuk a neve alapján adja magát! :))

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

KDE-n nem működik, mert bugos.
;]

--
nincs aláírásom

Azért eléggé reklámfogásnak tűnik a találó cég szempontjából. Gyakorlatilag teljesen felhasználói szintű dolgokat tesz a malware, és (egyelőre) a felhasználó közreműködése kell, hogy települjön. Egy ilyet bárki meg tud írni. V.ö.: albán vírus :)

Gondoltam, hogy senki sem találkozott még vele:)
Lehet, hogy csak valamelyik Ukrán-Orosz Linuxba került bele.

De, van fenntartásunk a vörös csillagos Linuxokkal is ...

a felhasználó közreműködése kell, hogy települjön

lehet egy telepítési útmutatóval kezdi, hogy ha valaki precízen követi sikeresen feltelepül :D

Úgy nézki, még nem jött el a linux vírusok éve ;)

--
zrubi.hu

Melyik az a vírus, ami nem igényli a tökkelütött felhasználó aktív vagy passzív közreműködését?

Mondjuk egy alaptelepítésű rendszert érintő remote exploit, vagy egy felnyomott weboldal szerintem ide tartozik. Ezen esetekben nem igazán lehet a buta felhasználót okolni.

Mandrake Linux alatt volt egy bugos Apache2 csomag, aki jóhiszeműen telepítette a telepítő CD-ről passzív volt, vagy tökkelütött?

Ha valakit kicsit részletesebben is érdekel: link
--
Csaba

ja, bírom amikor repostolnak, majd a repostolók is egymást repostolják amiben nem az eredeti forrást tüntetik fel, hanem egy köztes repost oldalt :D görgetik, mint a ganajtúró bogár a galacsint. Csak közben elvész a lényeg.

Nemzetünk kíbervédelmétől már csak egy "index" szintű tartalom jutott nekünk, de legalább szépen, magyarul.

--
zrubi.hu

Ha a repostolt oldal tartalmazza a forrás információt, akkor azzal ugyanúgy eléri a célját, nem?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Attól függ mi a célja.

Személyes megítélésem, hogy aki forrás megjelölés nélkül postol/repostol az a bulvár kategória.

Az NKI megjelölte ugyan egy forrást, de nem az eredetit. Számomra ez még mindig nem üti meg a mércét, hogy érdemben foglalkozzak velük ~azaz kövessem őket, mint szakmai hírforrás. Pedig minhta ez lenne a céljuk, nem?

építő jellegű kritika ON:

Hozzáteszem, a post indítója ezt csak tetézte azzal, hogy repostolt egy meglehetősen gyenge minőségű repostot :)

No offense - csak hogy ne (csak) az NKI-t osrotozzam ;)

szerintem.
--
zrubi.hu

A forrásmegjelölés még önmagában nem fogja hitelesíteni a tartalmat. :) szerintem ezen nyugodtan lépj túl.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Szóval ez akkor nem is tud települni, ha az ember kiegészítőket csak gnome software-ből telepít? Mert felteszem ez a böngésző kiegészítők segítségével mászik fel. Vagy tévedek?

Nem böngészőkiegészítőről van szó. Az extensions.gnome.org oldal lehetne a célpont, de oda nem került be. Anélkül meg sok hűhó semmiért.

akkor kb. a warezoldalról töltök le linuxdisztrót kategória. Mint amikor az volt a hír hogy az utorrentben virus van, aztán a kifejtésből derült ki hogy csak akkor, ha az egyik huszadrangú letöltőszemétdombról szerzed be.

Szóval ez akkor nem is tud települni, ha az ember kiegészítőket csak gnome software-ből telepít?
...mint ahogy a legtöbb ma "garázdálkodó" virus sem. Szinte mindegyikhez kell egy felelőtlen/tudatlan user.

--
zrubi.hu

Még ennél is speckóbb a dolog. A telepítőben hard kódolva van a telepítési útvonal, ami pl nálam Fedorán nem létezik. Szerintem a Debián/Ubuntu célcsoporton kívül ez az egész még akkor se működne (így ahogy most van), ha szándékosan telepíteni próbálnád. Plusz PulseAudiora dependál, ami megint csak alaposan szűkíti a célcsoportot. (Igaz, pont a hangrögzítő modul az alapbeállításokkal csak 80 ms hangot rögzít, ami nem túl hasznos, de kívülről vezérelhető, hogy csináljon hosszbb felvételt.)
A fent linkelt cikkben írogatják, hogy valószínűleg ukrán (?) politikusok voltak a célcsoport, főleg doksik lopására használták az exploitot, aminek egyes moduljai nem is működnek, nincsenek teljesen implementálva. Szóval, ahogy látom, ez konkrét célszemélyek ellen gyártott anyag, nem botnetet akartak vele csinálni.
--
Csaba

Üzletileg erősen megkérdőjelezhető volt mindig is, hogy megéri-e készíteni széles körben használt linux-os vírust, de az hogy gnome, debian,ubuntu, majd még szűkít azzal, hogy lehallgatást és képernyőképet tud lopni, ez messziről látszik, hogy nem üzleti okokból készült.

kezdetleges TeamViewer implementáció orosz módra ;) ezek szerint a TV is vírus...

Az is egy C&C kiszolgálóra csatlakozik :)

-

A fejlesztők hibájából felfedezett black_door? Ez meg mi?

> Sol omnibus lucet.

Amit csak a black_hat_haxor használ...
--
Csaba

A mondat értelme az, hogy a fejlesztők azért fedezték föl a backdoort, mert hibáztak. Ez az, amit nem értek. Valóban ez történt?

> Sol omnibus lucet.

Ha jól tudom, beküldték elemzésre:) de a "vírus kereső cégek" csak akkor nézték meg rendesen amikor félkész keyloger kódot találtak benne.