Uwaga na SysJoker – atakuje systemy Windows, Linux i macOS

To wyjątkowo złośliwe oprogramowanie wykryli informatycy pracujący w firmie Intezer, nadając mu nazwę SysJoker. Wpadli na jego ślad sprawdzając konfigurację serwera linuksowego pracującego w jednej z instytucji edukacyjnej, której nazwy nie ujawniono.

Grafika: Negative Space/Pexels

Sposób w jaki SysJoker został zaprojektowany wskazuje na to, że może to być narzędzie potrafiące budować tzw. backdoory (czyli tylne drzwi) i używać ich do szpiegowania systemów IT. Może ono bowiem zagnieżdżać i uruchamiać na zaatakowanym systemie oprogramowanie, które gromadzi pliki i inne cenne dane, a następnie ekspediuje w świat wysyłając do skonfigurowanych przez hakerów serwerów.

SysJoker atakuje swe ofiary w specyficzny sposób. W przypadku serwerów pracujących pod kontrolą systemów operacyjnych Linux i MacOS hakerzy wysyłają do nich pakiet, który udaje iż jest narzędziem modyfikującym te systemy. W serwerach Windows, podszywa się pod narzędzie modyfikujące różnego rodzaju intelowskie sterowniki. Pewną wskazówką pozwalającą identyfikować tego rodzaju fałszywe narzędzia może być to, że noszą one takie nazwy, jak "updateMacOs" czy "updateSystem.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Co trzecia firma w Polsce z cyberincydentem

SysJoker zaczął atakować systemy IT w drugiej połowie zeszłego roku i przez ostatnie kilka miesięcy hakerzy zmieniali trzykrotnie domeny i pracujące w nich serwery, które gromadzą skradzione dane. Sposób w jaki hakerzy przeprowadzają ataki i w jak wybierają swoje ofiary wydaje się wskazywać na to, że nie są to amatorzy, ale najwyższej klasy specjaliści, za którymi może stać rząd jednego z tzw. wrogich państw.

SysJoker jest prawdopodobnie cały czas aktywny, dlatego administratorzy zarządzający systemami IT powinni się mieć na baczności i zwracać uwagę na potencjalnie podejrzaną aktywność i za każdym razem badać ją, tak aby nie dać się zaskoczyć.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200