Plague– rejtőzködve fertőzött egy évig!
Egy eddig ismeretlen, rendkívül kifinomult Linux-alapú hátsókapu, amely a Plague nevet kapta, több mint egy évig észrevétlenül működött különböző rendszerekben – minden ismert vírusirtó észlelése nélkül.
A Nextron Systems szakértői által felfedezett új fenyegetés kritikus veszélyt jelent a vállalati IT-biztonságra, mivel manipulálja a Linux hitelesítési folyamatokat, és rejtett SSH-hozzáférést biztosít a támadók számára.
🧬 Mi is az a Plague?
A Plague egy rosszindulatú PAM-modul. A PAM (Pluggable Authentication Modules) a Linux/UNIX rendszerek egyik központi eleme, amely a felhasználóhitelesítést végzi különféle alkalmazásokhoz.
Egy kompromittált PAM-modul képes:
- hitelesítési folyamatok megkerülésére,
- jelszavak ellopására,
- észrevétlen működésre rendszerszinten.
🧟♂️ Miért különösen veszélyes?
| Jellemző | Leírás |
|---|---|
| 🚫 Antivírus észlelés | 0/66 vírusirtó ismerte fel VirusTotalon |
| 🧬 Lopakodó hitelesítés | SSH hozzáférés PAM-ből, naplózás nélkül |
| 🔒 Elemzés elleni védelem | Statikus jelszavak, obfuszkált kód |
| 🔁 Frissítések túlélése | Frissítések után is megmarad |
| 🧩 Variánsok száma | Több különböző variánst azonosítottak |
| ⏱️ Fennállási idő | Legalább 12 hónapig rejtve maradt |
📉 Vírusirtók csődje
A kutatók szerint a Plague különböző variánsait 2024. július 29. óta több alkalommal is feltöltötték a VirusTotalrendszerébe – egyik sem váltott ki riasztást.
„Ez az egyik legjobban rejtőzködő Linux malware, amit eddig láttunk.” – Nextron Systems
A malware olyan szinten integrálódik a rendszermaghoz közeli könyvtárakba, hogy szinte forenzikus eszközök sem észlelik.
🔓 Plague fő képességei
- Rejtett SSH hozzáférés – statikus (beépített) jelszavakkal
- SSH naplók manipulálása – nem jelenik meg semmilyen logban
- Anti-debugging mechanizmus – nehéz visszafejteni
- Frissítéstúlélő perzisztencia – újraindítás vagy update után is aktív marad
🔐 Miért kritikus ez?
A Plague támadási vektora az identitáskezelés legmélyebb szintjét érinti: ott él, ahol a legérzékenyebb hitelesítési folyamatok zajlanak. Ha egy PAM-modul kompromittálódik, gyakorlatilag teljes root szintű hozzáférést ad a támadónak – mindezt észrevétlenül.
A hagyományos endpoint védelmi megoldások – antivírus, EDR, logelemzés – teljesen hatástalanok ellene.
🔎 Mit tehetünk?
Azonnali ajánlások:
- ✅ Ellenőrizz minden nem szabványos PAM-modult (/lib/security, /etc/pam.d/)
- ✅ Használj integritás-ellenőrző eszközöket (pl. AIDE, Tripwire)
- ✅ Aktiválj auditd és syslog monitoringot SSH session-ökre
- ✅ Állíts be 2FA-t minden root vagy sudo jogú felhasználóra
- ✅ Kövesd a Nextron és CISA frissítéseit és YARA szabályait
🧠 Összefoglalás
A Plague egy rendkívül fejlett, PAM-alapú Linux backdoor, amely SSH-hozzáférést biztosít a támadóknak a legmélyebb rendszerintegráció révén. Rejtett működése és antivirus-ellenállása új korszakot jelez a Linux fenyegetések világában.
