Pygmy Goat backdoor Sophos tűzfalakon
Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) technikai dokumentációt tett közzé egy kifinomult hálózati backdoor-ról, amelyet feltört Sophos XG tűzfalakra telepítettek. Arra figyelmeztet az NCSC, hogy a rosszindulatú programot a Linux-alapú hálózati eszközök szélesebb körére tervezték. A Pygmy Goat nevű backdoor többféle lopakodó technikát használ a perzisztencia fenntartásához és a felderítés elkerülésére, és képes a rosszindulatú forgalmat legitim SSH-kapcsolatnak álcázni. A backdoor titkosított ICMP csomagokat is használ a rejtett kommunikációhoz, és egyértelműen egy nagyon képzett, profi hacker munkája. – áll a reportban.
„Bár a Pygmy Goat nem tartalmaz újszerű technikákat, meglehetősen kifinomult abban, ahogyan lehetővé teszi a kiberszereplők számára, hogy igény szerint interakcióba lépjen a backdoor-ral, miközben elvegyül a normál hálózati forgalomban. Maga a kód tiszta, rövid, jól strukturált funkciókkal rendelkezik, amelyek segítik a jövőbeli bővíthetőséget, és a hibák végig ellenőrizve vannak, ami arra utal, hogy hozzáértő fejlesztő vagy fejlesztők írták” – mondta az NCSC.
Az ügynökség úgy véli, hogy a kártevőt úgy tervezték, hogy a Sophos tűzfalakon túl a Linux-alapú hálózati eszközök szélesebb körét célozza meg. Az ügynökség szerint a Pygmy Goat malware hamis tanúsítványt használt, amelyet a Fortinet, egy másik gyakran célba vett nagy tűzfalgyártó tanúsítványának van álcázva. Ez arra utal, hogy a támadók eredetileg a FortiGate eszközökre fejlesztették ki a kártevőt, mielőtt a Sophos rendszerekre adaptálták volna – mondta az ügynökség.
