Een groep spionagehackers in Rusland heeft zich gericht op Linux-computers met behulp van eenvoudige Trojaanse malware waarvoor geen rootrechten nodig zijn, wat betekent dat aanvallers de mogelijkheid hebben om de malware met elk account te installeren.
Pawn Storm, een cyberspionagegroep die al zo’n acht jaar actief is, staat bekend om zijn betrokkenheid bij aanvallen op regeringen, militairen en veiligheidsorganisaties die behoren tot landen van de Noord-Atlantische Verdragsorganisatie.
De groep gebruikt zeer eenvoudige Trojaanse malware om Linux-systemen te infecteren, niet alleen van die NAVO-organisaties, maar ook van defensie- en mediabedrijven. Hackers uit deze groep lijken zich te richten op politieke activisten in Oekraïne en critici van de Russische regering.
Ondanks de eenvoud van de Trojan is de effectiviteit van de aanval opmerkelijk. De groep gebruikt zero-day exploits en spear phishing-campagnes om bestanden met kwaadaardige links en bijgevoegde inhoud te verspreiden. De groep richt zich ook op andere besturingssystemen zoals Windows via een achterdeurprogramma, evenals Mac OS X via andere malwaretools.
De belangrijkste tool die door deze hackers wordt gebruikt, is Fysbis, een soort Trojaans paard met een modulaire architectuur voor toekomstige verbeteringen en uitbreiding van wat het kan doen door plug-ins toe te voegen. Palo Alto Networks, die de trojan ontdekte, meldde dat de malware de mogelijkheid heeft om zichzelf op een doelcomputer te installeren, zelfs zonder rootrechten, die hackers doorgaans nodig hebben om geprivilegieerde toegang tot een beveiligd systeem te krijgen.
Het doel is om gegevens van geïnfecteerde systemen te stelen voor spionage en andere kwaadaardige doeleinden. Daarom hoeft u niet echt de controle over het hele systeem over te nemen, maar alleen om toegang te krijgen tot gevoelige gegevens en deze te stelen. Op andere momenten bespioneren hackers de browsegeschiedenis van de slachtoffers en andere gerelateerde activiteiten die de gebruiker met zijn computer uitvoert.
De Fysbis-aanval toont een duidelijk feit aan over het dreigingslandschap: dat het niet in verfijning hoeft te groeien om zijn doelen te bereiken. Het benadrukt ook de zwakte van het Linux-systeem, dat vaak wordt gezien als het veiligste van alle besturingssystemen.
Bovendien zou het voor organisaties moeilijk zijn om Linux-kwetsbaarheden op hun systemen te detecteren, omdat bedrijven vaak investeren in de bescherming, het onderhoud en de beveiliging van hun Windows-systemen. De toenemende verwaarlozing van Linux-systemen drijft aanvallers ertoe om zich meer op deze infrastructuur te concentreren, die tegenwoordig nog steeds veel wordt gebruikt.
