El troyano Fysbis tiene una arquitectura modular que permite a atacantes ampliar su funcionalidad según sea necesario a través de plugins.
Un grupo de ciberespionaje ruso conocido como Pawn Storm está infectando los sistemas Linux con un simple pero efectivo programa troyano que no requiere un acceso muy privilegiado.
Pawn Storm, también conocido como APT 28, Sofacy o Sednit, es un grupo de atacantes que ha estado activo desde el 2007. Con los años, el grupo tiene su finalidad en robar información de seguridad nacional y de organizaciones militares de los países miembros de la OTAN, así como contratistas de defensa y las organizaciones de medios de comunicación, activistas políticos de Ucrania, entre otros.
El grupo es conocido por usar exploits zero-day, así como emails de phishing con archivos adjuntos maliciosos. Su programa de puerta trasera para Windows es llamado Sednit, pero el grupo también utiliza programas de malware para Mac OS X, Linux e incluso sistemas operativos móviles.
Su herramienta de software malicioso preferido para Linux es un programa troyano denominado Fysbis (Linux.BackDoor.Fysbis), según investigadores de la firma de seguridad Palo Alto Networks.
“Fysbis puede instalarse en el sistema de una víctima con o sin privilegios de root“, dijeron los investigadores Palo Alto, el viernes en un post de su blog. “Esto aumenta las opciones disponibles contra un adversario cuando se trata de seleccionar las cuentas para la instalación“.
Después de la instalación, se lleva a cabo algunas pruebas para ver qué tipo de capacidades de su usuario actual tiene, y envía los resultados al servidor C&C -Servidores de “comando y control”.
Como herramienta de ciberespionaje, Fysbis está diseñado principalmente para el robo de datos. Como tal, incluso si no se obtuviera el control sobre todo el sistema, aún puede lograr su objetivo principal de robar documentos potencialmente sensibles que el usuario tiene acceso, o espiar la navegación web del usuario y otras actividades.
“A pesar de la creencia persistente (y falsa sensación de seguridad) de que Linux produce inherentemente un mayor grado de protección contra los actores maliciosos, programas maliciosos y vulnerabilidades; malware y vulnerabilidades de Linux existen y están en uso por los adversarios avanzados”, dijeron.