апрель    2026

Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

показать все 

24.04.2026

Использование рабочей почты на сторонних сервисах создает ИБ-риски

Читать далее 

24.04.2026

Группа «Московская Биржа» представила результаты внедрения Единой СЭД на платформе Docsvision

Читать далее 

22.04.2026

«Газинформсервис» и «AzInTelecom» заключили соглашение о взаимном признании электронной подписи между Россией и Азербайджаном

Читать далее 

21.04.2026

САКУРА 3.2 – новые возможности и улучшения

Читать далее 

21.04.2026

ЕМДЕВ выводит корпоративный портал Инкоманд на уровень 100% замещения Microsoft SharePoint

Читать далее 

показать все 

22.04.2026

Суверенные облака: стратегия на 2026–2028

Читать далее 

22.04.2026

Российское ПО дорожает: как обосновать бюджет?

Читать далее 

22.04.2026

Управление данными: искусство превращения хаоса в актив

Читать далее 

23.03.2026

Эволюция бизнес-процессов от ИИ-инструментов к мультиагентным командам

Читать далее 

23.03.2026

Время внедрения: ИИ в вашем бизнесе – эксперимент или реальная прибыль?

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Новости партнеров / «Доктор Веб» исследовал многокомпонентного троянца для Linux

Вредоносные программы для операционных систем семейства Linux не столь распространены по сравнению с Windows-троянцами. Тем не менее они представляют серьезную угрозу для пользователей. Специалисты «Доктор Веб» исследовали сложного многокомпонентного троянца, способного заражать устройства под управлением Linux с различной аппаратной архитектурой.

Первые атаки с применением троянца, вошедшего в семейство Linux.LuaBot, специалисты «Доктор Веб» фиксировали еще в декабре 2016 года. Все представители семейства написаны на скриптовом языке Lua. Троянец непрерывно эволюционирует с ноября 2016 года, и новые версии Linux.LuaBot появляются с завидной регулярностью. Вредоносная программа Linux.LuaBot представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» девайсов. При этом специалистам «Доктор Веб» не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC: заражающий устройства инфектор троянца умеет определять эту архитектуру, но реально существующих модулей для нее не выявлено.

Все входящие в состав Linux.LuaBot сценарии взаимосвязаны. Троянец генерирует список IP-адресов, которые будет атаковать, а затем пытается соединиться с удаленными устройствами по созданному списку и авторизоваться путем перебора логинов и паролей по словарю. Скрипты, с использованием которых осуществляется взлом сетевых узлов, умеют определять архитектуру атакуемого устройства и, кроме того, имеют специальный механизм для детектирования «ханипотов» (от англ. honeypot, «горшочек с медом») — серверов, играющих роль приманки для злоумышленников. С помощью «ханипотов» специалисты по информационной безопасности изучают методики атак и инструментарий злоумышленников. При этом атаки выполняются как по протоколу Telnet, так и посредством SSH — за работу с каждым из этих протоколов отвечает отдельный Lua-сценарий. Если получить доступ к устройству удалось, вредоносный скрипт устанавливает на него троянца Linux.LuaBot соответствующей архитектуры. В процессе атаки по протоколу Telnet на скомпрометированный узел сначала загружается небольшой модуль, который, запустившись, скачивает самого троянца, при атаке по протоколу SSH троянец загружается сразу.

Один из модулей Linux.LuaBot представляет собой полноценный веб-сервер, работающий по протоколу HTTP. Сервер может сохранить на инфицированном устройстве и выполнить приложение, передать по запросу файл из своей директории и сообщать информацию о версии троянца. Отметим, что в майской версии Linux.LuaBot злоумышленники убрали функцию передачи данных о зараженном устройстве.

Linux.LuaBot общается с управляющим сервером по протоколу HTTP, при этом вся передаваемая информация шифруется. Для поиска свежих конфигурационных файлов и модулей используется сеть P2P на основе протокола Bittorent DHT, такого же, который задействован в обычных торрент-сетях. За эту функцию отвечает еще один скрипт. При этом принимаемые и передаваемые сообщения проверяются на подлинность с помощью цифровой подписи. Если P2P-сеть недоступна, отдельный сценарий выполняет обновление Linux.LuaBot с помощью других зараженных узлов, закачивая свои файлы на скомпрометированные устройства по специальному запросу. Этот сценарий присутствовал только в ранних версиях троянца.

Опасность Linux.LuaBot для владельцев Linux-устройств заключается в том, что этот троянец фактически является бэкдором, то есть способен выполнять поступающие от злоумышленников команды. Кроме того, ранние версии этой вредоносной программы запускали на скомпрометированном устройстве прокси-сервер, который злоумышленники использовали для анонимизации своих действий в Интернете.

Вирусные аналитики «Доктор Веб» собрали статистику об уникальных IP-адресах устройств, зараженных Linux.LuaBot. Географическое распределение этих адресов показано на следующей иллюстрации.

Специалистам «Доктор Веб» известно несколько модификаций Linux.LuaBot, отличающихся набором функций и архитектурными особенностями. Антивирус Dr.Web детектирует все существующие на сегодняшний день образцы Linux.LuaBot.

Подробнее о троянце

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи