Великобритания раскрыла вредоносное ПО «Pygmy Goat»
Национальный центр кибербезопасности Великобритании (NCSC) представил отчёт о вредоносной программе «Pygmy Goat», созданной для взлома сетевых устройств Sophos XG firewall.
Эта программа была задействована в атаках, которые приписывают китайским хакерам.
На прошлой неделе компания Sophos описала многолетние атаки китайских группировок на сетевые устройства, находящиеся на границе периметра сети. Одним из главных инструментов этих атак стал руткит — вредоносная программа, замаскированная под файлы Sophos, которая внедряется в устройства для скрытого доступа. Программа имеет сложный код и использует продвинутые методы для маскировки и сохранения доступа к устройству.
Хотя в отчёте NCSC прямо не названы конкретные группы хакеров, описанные тактики схожи с техникой «Castletap», которую компания Mandiant связывала с китайскими спецслужбами. Sophos также подтвердила использование этого руткита в атаках 2022 года, связанных с хакерской группировкой «Tstark».
Исследователи Sophos обнаружили два экземпляра вредоносного файла «libsophos.so», который использовали уязвимость CVE-2022-1040 (оценка CVSS: 9.8) в Sophos Firewall. Один из заражённых устройств принадлежал важному правительственному учреждению, а второй был у его технологического партнёра.
«Pygmy Goat» — это программа для взлома, представляющая собой файл «libsophos.so», который предоставляет хакерам скрытый доступ к устройствам на базе Linux, включая Sophos XG firewall. Вредоносная программа использует переменную окружения LD_PRELOAD, чтобы подгрузить свой код в SSH-демон (sshd) и перехватить функции, отвечающие за обработку входящих подключений.
Эта программа отслеживает SSH-трафик в поисках так называемых «магических байтов» (magic bytes) в первых 23 байтах каждого пакета. Когда такая последовательность обнаружена, подключение определяется как сеанс бэкдора, и программа перенаправляет его на внутренний сокет Unix для связи с командным сервером.
Вредоносное ПО также слушает ICMP-сокет, ожидая зашифрованные пакеты, содержащие IP и порт для связи с командным сервером, после чего инициирует обратное подключение через TLS. Для маскировки «Pygmy Goat» использует поддельный сертификат, похожий на FortiGate CA от Fortinet, чтобы скрываться в сетевых средах с Fortinet-устройствами.
Когда устанавливается SSH-подключение, вредоносная программа имитирует обмен данными, чтобы на мониторах казалось, что соединение легитимное. Командный сервер может отдавать «Pygmy Goat» команды, такие как запуск командной оболочки, захват сетевого трафика, управление задачами cron и установка обратного прокси SOCKS5 для скрытого обмена данными.
В отчёте NCSC представлены хэши файлов, а также правила YARA и Snort, позволяющие обнаружить активность «Pygmy Goat» на ранних этапах. Также рекомендуется проверять файлы типа /lib/libsophos.so, /tmp/.sshd.ipc и контролировать зашифрованные ICMP-пакеты, а также использование LD_PRELOAD в процессе sshd, что может быть признаком заражения этим вредоносным ПО.