28.02.2017

Linux cihazları, saldırganların siber saldırılar başlatırken kimliklerini saklamak için kullandıkları proxy sunuculara dönüştüren yeni bir Truva atı yazılımı bulundu.

 

Linux.Proxy.10 olarak adlandırılan Truva Atı, ilk kez Rus güvenlik firması Doctor Web'den araştırmacılar tarafından tespit edildi. Bu yıl Ocak ayı sonunda binlerce cihaza bulaştığı tespit edilen zararlı kampanya halen devam etmekte ve daha fazla Linux makinası için avlanmakta.

 

Araştırmacıların tespitlerine göre zararlı herhangi bir istismar parçası içermiyor. Farklı zafiyetler sonucu istismar edilen sistemlerde kullanıcı oluşturulup sonrasında bu kullanıcı ile SSH bağlantısı sağlanıyor. Bağlantı sağlandığında ise SOCKS5 proxy server uygulaması Linux.Proxy.10 zararlısı kuruluyor.

 

Sofistike bir uygulamadan bahsetmiyoruz. Açık kaynaklı “Satanic Socks Server” kurulumu yaparak sisteminizi Proxy olarak kullanmaya olanak tanıyor.

 

Güvenlik firmasının araştırmalarına göre binlerce Linux cihazı bu saldırıdan etkilenmiş durumda.

 

Yapılabilecekler ise eğer ihtiyaç yoksa SSH bağlantısını dış ağlara kapatmak ve yeni oluşturulan kullanıcı hesaplarını kontrol altında tutmak.