Эксперты антивирусной компании Symantec опубликовали анализ коммуникационного протокола, который используется в бэкдоре Linux.Fokirtor. Эту нестандартную программу обнаружили в мае 2013 года на серверах одного крупного хостинг-провайдера. Больше данный бэкдор нигде не был замечен. Можно предположить, что продвинутые хакеры написали его специально для этой конкретной атаки.
Linux.Fokirtor очень необычным способом скрывает свою активность в системе. Чтобы не выдать себя открытием новых сетевых соединений, связью с удаленным сервером или посторонним процессом, бэкдор максируется под Secure Shell (SSH) и другие системные процессы. Программа способна получать команды с удаленного сервера по SSH. Бэкдор отслеживает трафик SSH и ждет появления следующей последовательности символов: двоеточие, восклицательный знак, точка с запятой, точка (:!;.).
После обнаружения этого шаблона бэкдор осуществляет расшифровку последующего трафика и извлекает команды, которые зашифрованы шифром Blowfish в кодировке Base64.
Пример команды, внедренной в трафик SSH
:!;.UKJP9NP2PAO4
Получается, что для передачи команд злоумышленнику нужно установить обычное соединение с сервером по SSH или другому протоколу, что не вызовет никаких подозрений. Результат выполнения команды (собранные имена и пароли пользователей и SSH-ключи), в свою очередь, шифруются Blowfish и передаются обратно злоумышленнику.
Компания Symantec не называет хостинг-провайдера, на серверах которого был обнаружен зловред. Возможно, речь идет о хостере Hostgator, по крайней мере, в апреле 2013 года там был найден бэкдор с похожими свойствами.
