Китайских хакеров обвинили в использовании нового SSH-бэкдора для взлома сетевых устройств

Специалисты по кибербезопасности обнаружили, что киберпреступники из Китая якобы взламывают сетевые устройства, модифицируя процесс SSH daemon с целью получения устойчивого доступа и незаметного выполнения вредоносных действий. Как выяснили исследователи, этот инструмент, использовавшийся с середины ноября 2024 года, якобы связан с хакерской группировкой Evasive Panda, также известной под названием DaggerFly.

По информации аналитиков Fortiguard из компании Fortinet, выявленный вредоносный комплекс получил название «ELF/Sshdinjector.A!tr». Он представляет собой программный код, встраиваемый в процесс SSH для реализации широкого спектра атак. Специалисты подчеркнули, что эта угроза уже применялась против сетевых устройств, но подробного технического анализа её работы до сих пор не существовало.

Группа Evasive Panda действует с 2012 года и ранее была замечена в атаках на macOS с использованием нового бэкдора, компрометации цепочек поставок через интернет-провайдеров в Азии, а также в операциях по сбору разведывательной информации у американских организаций.

В Fortiguard пояснили, что начальный метод компрометации сетевых устройств остаётся неизвестным. После взлома на заражённой системе выполняется специальный дроппер, который проверяет, имеется ли уже вредоносное ПО и обладает ли устройство правами root. При выполнении этих условий загружается набор двоичных файлов, среди которых библиотека SSH (libssdh.so).

Эта библиотека выполняет функцию основного компонента бэкдора, обеспечивая взаимодействие с сервером команд и управления (C2) и передачу украденных данных. Дополнительные файлы, такие как «mainpasteheader» и «selfrecoverheader», позволяют атакующим сохранять контроль над скомпрометированными устройствами.

После загрузки вредоносный код интегрируется в процесс SSH daemon, ожидая команд от C2 для выполнения действий, связанных с анализом системы, похищением учётных данных, слежением за процессами, удалённым исполнением команд и манипуляциями с файлами.

Специалисты Fortiguard добавили, что для исследования вредоносного ПО использовали инструменты, работающие с искусственным интеллектом. Хотя этот подход сопровождался сложностями, включая ложные выводы, пробелы в анализе и некорректную экстраполяцию данных, он показал перспективность при обратном проектировании угроз.