2023-09-24 00:47亮相升级:添加 FDM 团队升级后的调研结局。上次升级时间为:2023-09-16 12:35
2023-09-16 12:35亮相升级:添加 FDM 团队升级后的调研结局。原文亮相时间为:2023-09-15 00:18
升级 1:据 FDM 团队升级后的调研结局,黑客运用 FDM 站点脚本中的漏洞引入了恶意文件,用于更改 Linux 版的获取页面。溯源后察觉,关注戛纳电影节榜单这个更改过的页面可以追溯到 2020 年 FDM 的项目备份资料,其中包含一种算力用来对使用者访问开展过滤。
这个例外列表含有 Bing 和 Google 有关的子域,也就是说经由 Bing 和 Google 检索 FDM 进入 FDM 官网获取的使用者,部署包不会被篡改。相反,假如直接经由网址访问 FDM 则有或许被重定向到钓鱼站点。
升级 2:FDM 被黑事情后续:开发团队亮相脚本可以测试后门 提议 Linux 使用者获取测试
流行的免费获取器 Free Download Manager 此前被卡巴斯基评测室察觉可靠难题,FDM 官网站点遭到入侵。较为搞笑的是黑客在 2020 年就已然拿下 FDM 官网,但 FDM 团队直到如今收到卡巴斯基通报后才察觉这个难题,并且这件事从头到尾都是莫名其妙的。
一次有些吊诡的入侵事情:
卡巴斯基评测室在探究中察觉,一个老牌的恶意使用大约在 2020 年运用 FDM 办事器的漏洞顺利入侵,接着攻击者篡改了 FDM for Linux版的深度彩蛋解析攻略获取地址,将 Linux 使用者重定向到 deb [.] fdmpkg [.] org 站点,从这里获取带有后门的 FDM。
由于多数 Linux 使用者并不会部署杀毒使用,所以这个恶意使用包一直没有被察觉,直到 2022 年某个时候 FDM 对自己的办事器开展了一次例行维护,在完全不知情的状况下解决了漏洞。
被摧毁后黑客也没进一步动作,按理说只要黑客愿意,积极发掘肯定还能找到漏洞,但黑客没有这么做,突发DC电影业内人士这样看然后这件事就这么过去了。
要不是卡巴斯基评测室察觉了这种状况,FDM 团队至今都蒙在鼓里,由于漏洞早就被动修复了,所以 FDM 唯一能做的就是发个可靠公告通知那些在 2020 年~2022 年之间获取过 FDM for Linux 的使用者。
黑客的目的是什么?
普通来说,拿下一个知名使用的办事器,不去给 Windows 投毒,而是给 Linux 使用者投毒,那说明黑客目的昨天预测流媒体上线,治愈系文案肯定不简易,毕竟就使用者体量来说 Windows 使用者数要远远高于 Linux。
而携带后门的 FDM for Linux 具有各式特性,包括收集操控系统信息、阅读历史记录、窃取保存的密码、窃取加密货币钱包文件、窃取各类云办事含有 AWS/GCP/Oracle Cloud/Azure 的各类凭证等。
至少从卡巴斯基的确认来看,黑客目标就是收集资料,但要窃取这些资料显然也应该瞄准 Windows 使用者。
蓝点网猜测黑客是不是觉得使用 Linux 的使用者都是 IT 治理员或者高级使用者之类的,窃取他们的加密货币钱包可以直接偷钱,窃取云办事凭证可以拿来挖矿?不得不说这个猜测还是太牵强了,我们实在是想不到黑客到底是什么目的。
还有一种猜测是黑客故意配置了某些过滤条件,仅当使用者触发条件后才会被变成目标然后被重定向到钓鱼站点获取后门版 FDM。
但不管是哪种猜测都说明黑客目的绝对不简易,不然拿下 FDM 感染个几万到十几万台设备应该是很轻松的。
卡巴斯基这件事也说明了一些难题:
这件事从头到尾来看都相当莫名其妙,别的不说,黑客为什么会舍弃持续攻击呢?从黑客兴办的 bash 来看,黑客使用俄语和乌克兰语,并且在攻击期间较为活跃,从代码注释来看三天就升级了三个版次,没加注释的版次估计很多。
反正这件事在 2022 年某个时候也稀里糊涂的落幕了,只可是卡巴斯基觉得这种状况并不好,由于一个流行的 Linux 使用被黑这么久居然都没人察觉。
最核心的是什么呢?在 Reddit 论坛,实际上有不少 Linux 使用者察觉了猫腻,这些使用者察觉了后门版 FDM 携带的恶意脚本,也有使用者把脚本信息贴出来了,乃至还有使用者强调这个脚本是恶意的。
但最后这件事也就止步于十几个帖子的研究,不得知是这些使用者没有联系过 FDM 反馈难题还是联系了 FDM 并没有得到答复。
所以卡巴斯基才会觉得这种状况并不好:用肉眼测试 Linux 计算机上正开展的联网攻击或许相当艰难,所以 Linux 机器不管是 PC 还是办事器,都应该部署可靠的可靠使用。
也有中国使用者中招:
本次察觉的病毒样本实际上是个老牌病毒了,这个名为 Crond 的病毒活跃时间至少可以追溯到 2013 年,Crond 归于 Bew 后门的变种版次。
卡巴斯基的遥测资料显示,Crond 受害者遍布全球,含有中国、俄罗斯、巴西、沙特等都有不少中招的使用者。
但矛盾的是为什么 FDM 被感染了三年都没察觉难题呢?卡巴斯基觉得首要应该还是 Linux 恶意使用不太轻松被察觉、中招的使用者也太少,假如是大面积中招,那可靠使用应该能监测到短时间内呈现的众多异常流量。