Showboat атакует Linux-системы операторов связи на Ближнем Востоке

На сервере телеком-компании в одном из страновых узлов инженеры заметили странный исходящий трафик и следы удалённого доступа, которых там быть не должно. Позже исследователи связали инцидент с новым Linux-вредоносом Showboat: он умеет открывать shell, пересылать файлы и работать как SOCKS5-прокси.

Что такое Showboat

Showboat — это модульный вредонос для Linux, который ставят после первичного проникновения в сеть. Его задача не шуметь, а закрепиться внутри инфраструктуры и дать атакующим удобный канал для дальнейших действий.

По данным исследователей, кампания идёт как минимум с середины 2022 года и бьёт по телеком-сектору на Ближнем Востоке. Аналитики также связывают её с группами, которые работают в орбите Китая и используют общие инструменты для разных операций.

Как он работает технически

Showboat связывается с сервером управления, отправляет сведения о системе и ждёт команд. Он может запускать удалённую оболочку, загружать и выгружать файлы, скрывать себя из списка процессов и проксировать соединения через SOCKS5.

Особый интерес вызывает способ маскировки. Вредонос подтягивает фрагмент кода с Pastebin, а часть данных передаёт в PNG-поле в виде зашифрованной строки с Base64-кодировкой. Для защитных систем это неудобная смесь: трафик выглядит как обычный, а полезная нагрузка прячется в нетипичном контейнере.

Похожую логику атакующие используют и в других кампаниях — например, когда прячут активность под легитимные сервисы или системные процессы. Об этом мы уже писали в разборе как один забытый токен ломает защиту и в материале про смену тактики Webworm.

Почему это опасно для телеком-сетей

Для оператора связи такой вредонос — не просто проблема одного сервера. Если Showboat получает точку опоры, он может помочь атакующим ходить по внутренней сети, добираться до машин, которые не торчат в интернет напрямую, и собирать данные о конфигурации инфраструктуры.

Это уже не разовая кража файла, а подготовка к более глубокой атаке. В расследовании также всплыл Windows-имплант JFMBackdoor, который умеет запускать удалённую оболочку, делать снимки экрана и проксировать трафик. Такая связка показывает, что злоумышленники часто комбинируют инструменты под разные системы.

Как понять, что проблема может касаться вас

Сигналы обычно не бросаются в глаза. Насторожить должны исходящие соединения к незнакомым адресам, появление странных прокси-цепочек, процессы, которых не было в штатной конфигурации, и внезапные попытки серверов ходить друг к другу по нетипичным портам.

Ещё один маркер — следы удалённого доступа без понятной причины, особенно на Linux-серверах, которые обслуживают связь, маршрутизацию, биллинг или внутренние сервисы. Если вы администрируете такую инфраструктуру, проверьте журналы входа, сетевые правила и запуск новых бинарников.

Что делать для защиты

Начинать нужно с базовой гигиены: закрыть лишние сервисы, ограничить удалённый доступ, обновить систему и следить за учётками с повышенными правами. На серверах связи особенно важно разделять сегменты сети и не оставлять машины с широким доступом к соседним узлам.

Дальше — мониторинг. Отслеживайте необычные исходящие соединения, проверяйте целостность бинарников, храните логи не только на самом сервере, но и на отдельной площадке. Если в инфраструктуре уже есть подозрение на заражение, не тяните с изоляцией узла и внутренним расследованием.

Для сотрудников, которые работают вне офиса, полезно заранее настроить защищённый канал связи с корпоративными системами. В таких сценариях уместно смотреть на FreeDome для рабочей связи как на один из инструментов шифрования трафика на личных устройствах.

Если у вас есть домашний сервер, NAS или небольшой Linux-хост в офисе, проверьте его не только антивирусом, но и вручную: кто запускал процессы, какие задания стоят в cron, какие ключи лежат в authorized_keys и куда машина выходит в интернет. В атаках уровня Showboat именно такие мелочи часто выдают закладку раньше, чем сработает средство защиты.

Практический чек-лист

• Проверить исходящие соединения с Linux-серверов на незнакомые IP и порты.
• Сверить список запущенных процессов с эталонной конфигурацией.
• Посмотреть задания cron, автозапуск и SSH-ключи на предмет чужих записей.
• Изолировать сервер, если он начал ходить к подозрительным адресам.
• Обновить систему и закрыть лишние сервисы удалённого доступа.
• Разнести сегменты сети, чтобы один узел не открывал дорогу ко всей инфраструктуре.
• Хранить логи отдельно от рабочих серверов и регулярно их проверять.
• Для удалённой работы заранее настроить защищённый канал связи с корпоративными ресурсами.