Phát hiện backdoor xâm nhập hệ thống Linux trong 3 năm mà không ai biết

VNZ-NEWS
Vn-Z.vn Ngày 14 tháng 09 năm 2023, Theo securelist các chuyên gia an ninh mạng vừa phát hiện một trang web đã âm thầm cài cắm backdoor tấn công công vào hệ sinh thái Linux. Mã độc này có thể lấy cắp mật khẩu và thông tin nhạy cảm khác trong hơn ba năm cho đến khi bị phát hiện. Theo dữ liệu theo dõi của securelist , trong nửa đầu năm 2023, đã xuất hiện 260.000 mẫu mã độc tấn công vào hệ thống Linux .


Trang web freedownloadmanager[.]org đã cung cấp một phiên bản ứng dụng Free- Download -Manager tưởng chừng như vô hại cho hệ điều hành Linux. Ngay cả trên Wikiperdia cũng đưa ra thông tin FreeDownloadManager là trình quản lý tải xuống dành cho Windows, macOS, Linux và Android .


Ảnh securelist
Tuy nhiên bắt đầu từ năm 2020, tên miền freedownloadmanager[.]org cùng lúc thực hiện chuyển hướng người dùng đến tên miền deb.fdmpkg[.]org, đây là nơi cung cấp phiên bản chứa mã độc dưới dạng ứng dụng FFree Download Manager.


Ảnh Securelist
Phiên bản chứa mã độc có các đoạn mã ra lệnh tải xuống hai tệp thực thi vào đường dẫn /var/tmp/crond và /var/tmp/bs. Sau đó, đoạn mã này tự lên lịch trình 10 phút chạy cron một lần trong đường dẫn tại /var/tmp/crond . Hành động này khiến các thiết bị nào từng cài đặt phiên bản FreeDownloadManager độc hại đều bị cắm backdoor ( cửa sau) vĩnh viễn.

Các chuyên gia từ Kaspersky đã tiến hành phân tích thử nghiệm và quan sát cách backdoor này hoạt động. Sau khi truy cập vào địa chỉ IP của tên miền độc hại, backdoor sẽ khởi chạy một reverse shell cho phép hacker thực hiện các cuộc tấn công từ xa và điều khiển các hệ thống bị nhiễm mã độc.


Trong một báo cáo được chia sẻ từ Securelist : "Steale này thu thập dữ liệu như thông tin hệ thống, lịch sử duyệt web, mật khẩu đã lưu, thông tin ví tiền điện tử, thông tin đăng nhập cho các dịch vụ đám mây (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure). Sau khi thu thập thông tin từ hệ thống bị nhiễm, stealer sẽ tải xuống một tệp binary uploader từ máy chủ C2 và lưu nó vào /var/tmp/atd. Sau đó, nó sử dụng binary này để tải lên kết quả thực thi của stealer lên hạ tầng của kẻ tấn công".




Sau khi tìm kiếm các bài đăng trên mạng xã hội nói về FreeDownloadManager, các chuyên gia an ninh phiện hiện ra một số người truy cập vào freedownloadmanager[.]org nhận được phiên bản vô hại của ứng dụng, trong khi một số người khác được chuyển hướng đến một trong các tên miền độc hại dưới đây để phát tán phiên bản đã bị gài backdoor.

  • 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
  • c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
  • 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
  • c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org
Hiện chưa rõ tại sao một số người khi vào Freedownloadmanager[.]org lại nhận được phiên bản phần mềm không có mã độc, trong khi những người khác bị chuyển hướng đến một tên miền độc hại. Hành động chuyển hướng cài cắm mã độc này được các chuyên gia cho biết rằng đã kết thúc vào năm 2022 nhưng không rõ lý do.


Backdoor được cài cắm là phiên bản mã độc chuyên theo dõi có tên là Bew, mã độc này được công bố vào năm 2014. Bew là một trong những mã độc từng được sử dụng trong cuộc tấn công vào năm 2017 và chiến dịch năm 2019 nhằm khai thác lỗ hổng trong Exim Mail Server.

Các chuyên gia cho biết Chiến dịch hiện tại của mã độc FDM vẫn đang "nằm chờ" âm thầm và cho thấy rằng chiến dịch Free Download Manager backdoor khá khó để phát hiện các cuộc tấn công mạng đang diễn ra trên các máy Linux bằng mắt thường

Securelist cho biết thêm lý do tại sao mã độc này không được phát hiện sớm.

Mã độc được phát hiện trong chiến dịch này đã được biết đến từ năm 2013. Các phần cài đặt cuối cùng khá ồn ào và được chứng minh bởi nhiều bài đăng trên mạng xã hội. Theo dữ liệu theo dõi của chúng tôi, các nạn nhân của chiến dịch này được phân bố trên khắp thế giới, bao gồm Brazil, Trung Quốc, Ả Rập Saudi và Nga. Sự thật này, có thể có vẻ mâu thuẫn khi gói FreeDownloadManager độc hại vẫn không bị phát hiện trong hơn ba năm.
  • Không giống như Windows, mã độc Linux hiếm khi được quan sát.
  • Nhiễm mã độc với gói Debian độc hại xảy ra tuỳ theo từng mức độ xác suất: một số người dùng nhận được gói bị nhiễm, trong khi những người khác tải xuống phiên bản không gây hại.
  • Người dùng mạng xã hội đang thảo luận các vấn đề liên quan đến Free Download Manager và họ không nghi ngờ rằng chúng được gây ra bởi mã độc.
Các chuyên gia từ Securelist cũng cung cấp các thông tin như tệp băm , tên miền và địa chỉ IP , ngay bây giờ các bạn kiểm tra xem liệu mình có bị nhắm mục tiêu hoặc bị lây nhiễm trong chiến dịch cài cắm backdoor âm thầm này hay không. Securelist nghi ngờ đây là một cuộc tấn công nhằm vào chuỗi cung ứng liên quan đến phiên bản lành tính của ứng dụng Freedownloadmanager miễn phí. Hiện nhóm điều hành trang web freedownloadmanager[.]org chưa đưa ra thông tin phản hồi về chiến dịch cài cắm mã độc này.

Cập nhật phản hồi chính thức từ FDM team

Tôi có thể đọc và tóm tắt các ý chính cho các thành viên của chúng tôi hiểu rằng. Hệ thống của FDM đã bị nhóm hacker lạ xâm nhập và phát tán phần mềm độc hại. Số người bị nhiễm chiếm khoảng 0,1% người dùng của FDM. LL hổng này đã vô tình được giải quyết trong quá trình cập nhật trang web định kỳ vào năm 2022.Hiện tại FDM team đã khắc phục, FDM vẫn hoạt động bình thường, sạch .

Cập nhật mới ngày 22/09/2023 từ FDM Team

Update 2: We have prepared a bash script that you can use to check the presence of malware in your system.

Launch Instructions:

  1. Download the linux_malware_check.sh script and give it execute permissions. You can do this by running:
    chmod +x linux_malware_check.sh.
    Mã:
    https://files2.freedownloadmanager.org/linux_malware_check.sh
  2. Execute the script by running: ./linux_malware_check.sh.
Please note that this script only identifies whether the mentioned potential threats are present on your computer, it does not remove them. If malware is detected, it is highly recommended to reinstall the system.

We once again sincerely apologize for any inconvenience that might have been caused.


Thông tin bạn đọc có thể tham khảo tại securelist
 
Trả lời

newguy999

Rìu Sắt Đôi
Mấy ông bảo thời này ai đi sài IDM
Có free -censor- và Neat gì đó
 

FDM Team

Gà con
Greetings from the Free Download Manager team. We acknowledge the reports regarding the security concerns and assure you that we're actively investigating their history. As of now, all links on the FDM website are secure and functional. For a comprehensive overview of the situation, we've made an official announcement on our website. We encourage everyone to get more insights here: https://www.freedownloadmanager.org/blog/?p=664
 

Shun87

Búa Đá
Vào trang nguồn mà đọc tiêu đề. Trang nguồn tiêu đề là phát hiện FDM có cửa hậu và nó có khả năng tấn công hệ thống máy tính linux
 

Long Sao


Junior Moderator
Vào trang nguồn mà đọc tiêu đề. Trang nguồn tiêu đề là phát hiện FDM có cửa hậu và nó có khả năng tấn công hệ thống máy tính linux
Có khả năng( hù dọa là phần nhiều). Và FDM đó là trang FDM giả chứ còn phần mềm thì dễ lắm Backdoor rất khó để hoạt động tốt trên Linux. Và hiện tại dùng uBlock Origin ngay trên trình duyệt thì xin lỗi chứ chẳng có con nào nhảy vào được cả
 

VNZ-NEWS

Administrator
Thành viên BQT
Tôi có thể đọc và tóm tắt các ý chính cho các thành viên của chúng tôi hiểu rằng. Hệ thống của FDM đã bị nhóm hacker lạ xâm nhập và phát tán phần mềm độc hại. Số người bị nhiễm chiếm khoảng 0,1% người dùng của FDM. LL hổng này đã vô tình được giải quyết trong quá trình cập nhật trang web định kỳ vào năm 2022.Hiện tại FDM team đã khắc phục, FDM vẫn hoạt động bình thường, sạch .
 

Long Sao


Junior Moderator
Macos cũng tè le bạn ơi, cũng lỗ hổng, cũng vá tùm lum. Ai rồi cũng sẽ có virus mà.
Macos dùng nhân unix cũng là họ hàng với Linux.
Macos vẫn hackintosh được thì vẫn dính chưởng thôi. Còn Ubuntu chẳng hạn. Có bộ công cụ ổn định và sử dụng có kinh nghiệm và kiến thức thì không có virus hay mã độc gì khi sử dụng cả. hay có thể nói là kinh nghiệm, kiên thức cần nắm rõ ràng hơn. Và ổn định vẫn là người dùng chứ không phải hệ điều hành tự động theo kiểu học cách sử dụng của người dùng vì điều không thể. máy móc hỗ trợ con người chứ không phải con người phụ thuộc máy móc vì phụ thuộc máy móc sẽ có nghĩa là vứt đi. Mình hiện tại dùng Linux và chính xác là Ubuntu LTS và mình không kiếm phần mềm Cr@ck hay patch và không bị mã độc gì cả. Chưa kể kinh nghiệm thời kỳ dùng Windows đã đủ cho mình để khi sang Ubuntu mình có thể sử dụng không lỗi lầm và không bị nhiễm virus gì và không bị tấn công.
 

Long Sao


Junior Moderator
Chính xác là đã ổn. Và nó giống như Unikey.org của anh Phạm Kim Long nhà ta thời đó thôi mà. Nói chung xử lý lâu rồi mà nhiều bác cứ là nói vẫn còn bị đến giờ. Cảm giác là cuồng tín và không có cái nhìn bao quát, kinh nghiệm thực chiến hơi ít. Còn về việc có bác bảo là "Này thì ko virus ! " thì hiện tại các phiên bản Ubuntu và Linux nói chung đã an toàn và nâng cấp từng vòng đời rồi và ổn định. Mình thấy còn ổn định hơn Macos khá nhiều điều đấy. và mình thấy cái nhìn chung là mình dùng Ubuntu 22.04 LTS ( đang chờ bản LTS mới hơn) và rất ổn định không virus và tào lao gì cả. Chưa kể việc dùng Linux phải kinh nghiệm thực tế khá là nhiều mới dùng tốt được là điều chắc chắn không thể bàn cãi. có một cài đặt đó là Run Software khi cắm USB thì nên chọn Ask what to do thay vì Run Software thì việc bị nhiễm mã độc tự chạy khi cắm usb là hiếm khi xảy ra
 

FDM Team

Gà con
Greetings from the Free Download Manager team! Here is our latest update regarding the issue. We have created a bash script that you can use to check the presence of the malware in your system. Please review our instructions on our official page: https://www.freedownloadmanager.org/blog/?p=664
We once again sincerely apologize for any inconvenience that might have been caused.