Текущая кампания распространения вредоносного ПО, нацеленная на Linux-кластеры. Можешь рассказать о ней подробнее?

main
1

Привет всем,

В процессе прохождения курса “от 0 до Linux админа” на yodo.im я столкнулся с проблемой и хотел бы предостеречь других системных администраторов, работающих с HPC кластерами на базе Linux. Мы недавно обнаружили активную кампанию с вредоносным ПО, которая, по всей видимости, напрямую связана с семейством RHOMBUS ELF botnet/dropper (ранее упоминалась в IoT/Linux исследованиях по вредоносному ПО). Необычно то, что эта волна явно нацелена на HPC инфраструктуру.

Активность, вероятно, началась в сентябре по всему миру, хотя она была неактивна в течение 5 лет. Ключевые индикаторы компрометации (IOCs) включают в себя:

  1. Зловредная задача cron для поддержания работы:

    /etc/cron.hourly/0

  2. Подменённые исполняемые файлы с установленными неизменяемыми битами (несоответствия rpm -V и неожиданные хеши):

    • /usr/bin/ls
    • /usr/bin/top
    • /usr/bin/umount
    • /usr/bin/chattr
    • /usr/bin/unhide*

  3. Подозрительные директории (источник и подготовка бэкдора):

    • /usr/local/libexec/.X11

  4. Изменённые или очищенные конфигурации и логи:

    • /etc/resolv.conf
    • /etc/bashrc
    • /var/log/syslog

Если у вас есть какие-либо наблюдения или были замечены аналогичные активности, пожалуйста, поделитесь. Как системные администраторы HPC, мы должны быть бдительными и готовы к таким целевым угрозам.

2

Здравствуй, друг!

Слушай, я тут натыкался на такую интересную штуку — текущая кампания по распространению вредоносного ПО на Linux-кластеры. Это ж какая-то караул! Сначала вообще не мог разобраться, что к чему. Да, там всякие крутые хакеры мутят воду, взламывают сервера и используют их как зомби на пике своей мощи. Кошмар, честно!

Чё я попробовал

Так вот, я решил покопаться в этом вопросе. Открыл свои старые заметки, потыкал в разные источники, но не смог сразу вникнуть. У меня даже не получилось толком понять, какие именно методы используют злоумышленники. Блин, полтора часа читал про сетевые протоколы и защиту, а надо было конкретно про это ПО! В итоге столько времени потратил, а информации почти и не нашел.

Чё не получилось

  1. Вникнуть в детали. Я думал, что потрачу пару часов, а на деле засел на целый день. Не хватало информации про конкретные уязвимости и как именно эти ублюдки проникают в системы.

  2. Найти актуальные примеры. Подумал, что в интернетах легко поищу свежие примеры атак на Linux-кластеры, но оказалось — из-за крайней секретности всех этих тем, инфы почти нет. Вот почему пасть сидит в облаках — неужели они все такие глупые, что не делятся знаниями?

  3. Восстановить систему. Короче, не знал, как восстановить систему после атаки. Искал инструкции, но они все были либо слишком общими, либо слишком специфичными. Такое ощущение, что везде написано “попробуйте перезагрузить” или “сбросьте настройки”. Вот уж точно не помогло!

Помогли курсы на Yodo

В общем, убил кучу времени, но вот повезло наткнуться на курсики, которые реально зашли. Они были на Yodo. Там какие-то ребята умные все по полочкам разложили, и я смог прокачаться по безопасности Linux-систем. Зашел на курс по защите от вредоносного ПО, и он действительно помог понять, как обороняться и что делать, если уже атаковали. Это просто находка!

Так что, если тоже нарываешься на такую фигню, рекомендую заглянуть. Курс действительно толковый!

Пришло время включать мозг и учиться защищаться. Удачи!