В серверной телеком-компании обычно тихо: журналы пишутся, трафик идёт, администраторы видят только рутину. Но в этот раз исследователи заметили совсем другой фон — вредонос, который закрепляется в Linux и Windows-среде, скрывает следы и готовит почву для дальнейшего движения по сети.
Новая кампания бьёт по операторам связи в Азии, на Ближнем Востоке и, судя по отчётам, работает не первый год. Для обычного пользователя это не новость про «какой-то вирус», а напоминание: злоумышленники всё чаще строят атаки не вокруг одного заражённого ноутбука, а вокруг инфраструктуры, где можно долго сидеть незаметно.
Что именно нашли исследователи
По данным Lumen Black Lotus Labs и PwC Threat Intelligence, группа Calypso, которую также отслеживают как Red Lamassu, использует две разные сборки: Showboat для Linux и JFMBackdoor для Windows. Обе нацелены на длительное присутствие в сети после первого проникновения.
В материале отдельно подчёркивается, что злоумышленники создавали домены с телеком-тематикой и маскировались под цели. Это классический приём для шпионажа: не ломать всё громко, а втереться в доверие и дождаться, когда кто-то откроет нужную дверь.
Ранее мы уже разбирали похожую схему в заметке Showboat атакует Linux-системы операторов связи на Ближнем Востоке — нынешний отчёт показывает, что история получила развитие и на Windows-стороне.
Два вредоноса, две роли
Showboat — это модульный инструмент для закрепления в Linux-системах. Он собирает сведения о хосте, отправляет их на управляющий сервер, умеет загружать и выгружать файлы, скрывать свой процесс и закрепляться через новую службу.
Самая неприятная деталь — функция „hide“. Она помогает процессу прятаться, а часть кода злоумышленники подгружают с внешних сайтов и форумов, используя их как тайник для команд и данных. Ещё одна ключевая роль — прокси SOCKS5 и точка переадресации портов. Иными словами, заражённый узел становится промежуточной площадкой для перехода в другие сегменты сети.
JFMBackdoor на Windows работает похожим образом, но с набором функций под корпоративную среду: удалённая оболочка, управление файлами, проксирование TCP, работа с процессами и службами, правка реестра, снятие скриншотов и скрытие следов. Исследователи также отмечают зашифрованные настройки и механизмы самоустранения.
Почему это опасно именно для компаний
Для телеком-оператора одна заражённая машина редко остаётся изолированной проблемой. Если вредонос получил доступ к внутренней сети, он может использовать её как коридор к учётным данным, админским панелям и внутренним сервисам.
Отдельный риск — инфраструктура как сервисная сеть. Операторы связи обслуживают множество клиентов и подрядчиков, а значит, одна слабая точка может быстро превратиться в цепную реакцию. В таких сценариях важны не только антивирус и обновления, но и контроль сегментации, журналов, сервисных учёток и исходящих соединений.
Похожую логику атаки — когда вредонос живёт за счёт внутренних доверий и плохо контролируемых каналов — мы уже видели в разборе Webworm сменил тактику и спрятал вредоносный трафик в сервисах. Там другая группа, но мысль та же: атакующие не ломятся в лоб, а прячутся в привычной инфраструктуре.
Какие меры работают лучше всего
Если смотреть трезво, универсальной кнопки «защитить всё» не существует. Но есть набор мер, который заметно усложняет жизнь таким кампаниям.
Первый вариант — жёсткая сегментация сети. Плюс в том, что вредонос хуже перемещается между зонами. Минус — это требует дисциплины и нормальной инвентаризации, а не формального разделения «на бумаге».
Второй вариант — контроль исходящего трафика и DNS. Когда хост тянется к странным доменам, особенно к новым и малоизвестным, это часто видно раньше, чем проявится ущерб. Здесь полезны и поведенческие правила, и ручная проверка подозрительных узлов.
Третий вариант — защита рабочих станций и серверов по принципу минимальных прав. Если учётка не может ставить службы, менять реестр и запускать скрипты где попало, злоумышленнику сложнее закрепиться. Минус только один — придётся пересматривать старые удобные, но опасные настройки.
Четвёртый вариант — цифровая гигиена сотрудников и админов. Менеджер паролей, 2FA и внимательная работа с письмами и вложениями не остановят сложную кампанию сами по себе, но снизят риск первого входа. В поездках и на внешних площадках для части задач используют защищённый канал для рабочих поездок как один из инструментов базовой приватности, но он не заменяет контроль доступа, обновления и мониторинг.
Кому что подходит
Малому бизнесу чаще всего достаточно базового набора: обновления, 2FA, резервные копии, отдельные учётки для админов и нормальный мониторинг входящих событий. Этого уже хватает, чтобы не развалиться от первой же вредоносной рассылки.
Средним и крупным компаниям нужен более жёсткий контроль: сегментация, EDR, анализ аномалий, политика запуска скриптов, контроль сервисов и регулярная проверка журналов. Для операторов связи это не роскошь, а рабочий минимум.
Если инфраструктура смешанная — Linux и Windows вместе, как в этом случае, — особенно важно не считать одну платформу «тихой» и безопасной по умолчанию. Вредонос давно живёт в обеих средах и одинаково охотно использует слабые места администратора, а не операционной системы.
Практический чек-лист
- Проверьте, какие серверы и рабочие станции доступны из одной сети без нужды.
- Уберите лишние права у сервисных и админских учётных записей.
- Включите 2FA для почты, панелей управления и удалённого доступа.
- Пересмотрите правила, которые разрешают запуск скриптов и создание служб.
- Настройте контроль исходящих соединений к новым и редким доменам.
- Проверьте журналы на следы скрытых процессов, новых сервисов и подозрительных прокси.
- Обновите резервные копии и проверьте, что их можно восстановить.
- Для сотрудников в поездках держите под рукой инструменты цифровой гигиены — менеджер паролей, 2FA и отдельные рабочие профили.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.