Free Download Manager: Linux malware veszély

kami911 képe

Igyekszünk gyakran beszélni a Linux malware-ekről, mert bár gyakran gyorsan foltozzák, és a Windows, illetve a macOS-hez képest nem nagyon használják ki, de azért mégis jó ha felkészül a linux-os világ arra, ha majd jobban a célkeresztben lesz.

A napokban a Free Download Managerrel (egy népszerű cross-platform letöltéskezelő) kapcsolatban felmerült hírek némi aggodalomra adhatnak okot. Bár jómagam nem ajánlottam és nem is használtam ezt a letöltéskezelőt, néhány olvasónk a múltban javasolta. A probléma az, hogy az ingyenes letöltéskezelő Linux csomagnak álcázott rosszindulatú szoftverek képében települnek a rendszerre. A Free Download Manager nem malware - azonban találtak egy rosszindulatú csomagot Linuxra, amelyet Free Download Manager néven terjesztettek. A Kaspersky biztonsági kutatói felfedezték, hogy legalább két évig (2020-2022) létezett anélkül, hogy a felhasználók tudták volna, mit is telepítenek.

Melyek az azonnali teendők?

  • Feltétlenül távolítsa el a letöltéskezelőt, ha nem emlékszik - vagy nem tudja ellenőrizni - a letöltés forrását.
  • Ezenkívül azt javasolt, hogy nézze át a Kaspersky kutatási jelentését, hogy ellenőrizze a kompromittálódásra utaló jeleket. Ha ugyanaz a fájlútvonal van a rendszereden, és a Debian csomag rosszindulatú ellenőrző összege megegyezik, akkor kézzel kell megszabadulnod tőlük.
  • Ne felejtse el, ha letöltötte a rosszindulatú csomagot, azonnal változtassa meg a jelszavait, lehetőleg jelszókezelővel és két faktoros biztonsági beállítást használva.
  • Ha újra le akarja tölteni, ellenőrizze a letöltési URL-t, mielőtt telepítené a csomagot a Linux rendszerekre.

Mit tudunk a károkozóról?

Erről a Kaspersky cég így ír:

Az elmúlt néhány évben a Linux-gépek egyre inkább a legkülönfélébb fenyegetések célpontjává váltak. Telemetriánk szerint 2023 első felében 260 000 egyedi Linux-minta jelent meg. Amint azt ebben a cikkben bemutatjuk, a Linuxot célzó kampányok akár évekig is működhetnek anélkül, hogy a kiberbiztonsági közösség észrevenné őket.

Egy ilyen hosszú ideig tartó támadást fedeztünk fel, amikor úgy döntöttünk, hogy megvizsgálunk egy sor gyanús tartományt, köztük:

  • 2c9bf1811ff428ef9ec999cc7544b43950947b0f.u.fdmpkg[.]org
  • c6d76b1748b67fbc21ab493281dd1c7a558e3047.u.fdmpkg[.]org
  • 0727bedf5c1f85f58337798a63812aa986448473.u.fdmpkg[.]org
  • c3a05f0dac05669765800471abc1fdaba15e3360.u.fdmpkg[.]org

Egy biztonsági kutató szemében ezek a domainek riasztónak tűnnek, mivel a C2 kommunikációhoz domain-generáló algoritmusokat használó rosszindulatú programok használatára utal lehet. Ezért úgy döntöttünk, hogy alaposan megvizsgáljuk az fdmpkg[.]org tartományt. A tartomány, ahonnan a fertőzött csomagot letölthették a felhasználók a deb.fdmpkg[.]org címek.

Sajnos régóta velünk van ez a malware

Az egész történettel a fő probléma, hogy a rosszindulatú csomagot 2022-ig a Free Download Manager hivatalos weboldalán keresztül terjesztették minden más nem hivatalos forrással együtt. A hivatalos weboldal a freedownloadmanager.org, a files2.freedownloadmanager.org a helyes letöltési URL.

Ahogy az oldal is sugallja, ez az aldomain azt állítja, hogy a „Free Download Manager” nevű szoftver Debian csomagtárolójának ad otthont. A https://deb.fdmpkg[.]org/freedownloadmanager.deb URL címről letölthető Debian csomagot is találtunk ebből a szoftverből. Kiderült, hogy ez a csomag egy fertőzött postinst szkriptet tartalmaz, amely telepítéskor végrehajtódik. Ez a szkript két ELF fájlt helyez el a /var/tmp/crond és a /var/tmp/bs elérési útvonalakon. Ezután a perzisztenciát egy (az /etc/cron.d/collect fájlban tárolt) cron feladat létrehozásával biztosítja, amely 10 percenként elindítja a /var/tmp/crond fájlt.

A Free Download Manager fertőzött csomag által telepített verziója 2020. január 24-én jelent meg. Eközben a postinst szkript orosz és ukrán nyelvű megjegyzéseket tartalmaz, többek között a kártevő javításairól szóló információkat, valamint aktivista nyilatkozatokat. Megemlítik a 20200126 (2020. január 26.) és a 20200127 (2020. január 27.) dátumokat.

A feltételezés szerint a hivatalos webhelyet a fejlesztők tudta nélkül feltörték, és átirányították a felhasználókat, hogy egy másik domainről töltsenek le egy rosszindulatú szoftverrel fertőzött csomagot Linuxhoz. A bökkenő az, hogy nem minden felhasználót irányítottak át 2020 és 2022 között a hivatalos weboldalról a kártevő csomag letöltésére.

Lehet, hogy letöltötte a fertőzött csomagot, de az is lehet, hogy nem.

A Kaspersky jelentése „bash-lopóként” írja le, amely olyan adatokat gyűjt, mint a rendszerinformációk, böngészési előzmények, mentett jelszavak, kriptopénz-tárca fájlok, valamint a felhőszolgáltatások (AWS, Google Cloud, Oracle Cloud Infrastructure, Azure) hitelesítő adatai.

Tekintettel arra, hogy a Linux malware-eket ritkán észlelik nagy tömegben. Ennek ellenére fontos, hogy óvatosak legyünk, és ellenőrizzük a letöltött eszközök forrását és hitelességét. Ehhez használhatjuk az VirusTotal távolról elérhető szolgáltatást, ClamAV helyi vírusellenőrzőt és az rkhunter rootkit ellenőrzőt is.

Arról nem rendelkezünk adatokról, hogy hány Linux-felhasználó használja a Free Download Manager-t, ez valóban riasztó hír. Érdemes követni az összes tippet, hogy javítsa az adatvédelmet és biztosítsa az online élményt.

A fejlesztők hivatalos közleményt tettek közzé az oldalukon - és válaszolnak is a hozzászólásoknál. A közlemény szerint a közeljövőben a biztonsági rések megelőzése érdekében a webhely biztonságának megerősítésén dolgoznak:

Kedves Közösség,

Szeretnénk foglalkozni egy jelentős biztonsági problémával, amely nemrégiben jutott a tudomásunkra. Az Önök bizalmának megőrzése kiemelkedő fontosságú számunkra, és az átláthatóság iránti elkötelezettségünknek megfelelően igyekszünk világosan és közvetlenül beszámolni a helyzetről.

Mi történt: A mai napon a Kaspersky Lab megállapításai alapján tudomást szereztünk egy korábbi, 2020-as biztonsági incidensről. Úgy tűnik, hogy oldalunk egy bizonyos weboldalát egy ukrán hackercsoport veszélyeztette, kihasználva azt rosszindulatú szoftverek terjesztésére. A felhasználóknak csak egy kis részhalmaza, konkrétan azok, akik 2020 és 2022 között megpróbálták letölteni az FDM for Linuxot, potenciálisan ki voltak téve a veszélynek. Becslések szerint látogatóink jóval kevesebb, mint 0,1%-a találkozhatott ezzel a problémával. Valószínűleg ez a korlátozott hatókör az oka annak, hogy a probléma eddig észrevétlen maradt. Érdekes módon ezt a sebezhetőséget 2022-ben egy rutinszerű webhelyfrissítés során tudtán kívül megoldották.

Azonnali intézkedéseink: A felfedezés után alapos vizsgálatot kezdeményeztünk. Megerősítjük védekezésünket és további intézkedéseket hajtunk végre, hogy a jövőben megelőzzük az ilyen sebezhetőségeket.

Ajánlások a felhasználók számára: Ha Ön is azon felhasználók azon részhalmazába tartozott, akik az említett időszakban megpróbálták letölteni az FDM for Linuxot a veszélyeztetett oldalunkról, akkor elővigyázatosságból javasoljuk, hogy végezzen el egy rosszindulatú szoftverek által okozott kártevő vizsgálatot a rendszerén, és frissítse jelszavait.

Kommunikációs problémák: Az egyik kapcsolatfelvételi űrlapunkkal kapcsolatban is találtunk egy problémát, amely akadályozhatta a gyors kommunikációt, feltehetően a Kaspersky Lab képviselői használták ezt az űrlapot, hogy kapcsolatba lépjenek velünk. Ha megpróbált kapcsolatba lépni velünk ezzel vagy bármely kapcsolódó problémával kapcsolatban, de nem kapott visszajelzést, kérjük, lépjen velünk ismét kapcsolatba a support@freedownloadmanager.org címen.

Őszintén elnézést kérünk minden kellemetlenségért vagy aggodalomért, amit ez okozhat. Az Ön digitális biztonságának garantálása továbbra is az elsődleges feladatunk, és rendületlenül elkötelezettek vagyunk az Ön bizalmának megőrzése mellett.

Köszönjük türelmét és megértését. Amint többet megtudunk, folyamatosan tájékoztatni fogjuk Önöket.

Üdvözlettel, Free Download Manager csapat.

Frissítés: Vizsgálatunk kimutatta, hogy a hackerek egy sebezhetőséget használtak ki egy szkriptben a webhelyünkön, hogy egy rosszindulatú fájlt juttassanak be, amellyel megváltoztatták a https://www.freedownloadmanager.org/download-fdm-for-linux.htm oldalt.

A probléma kivizsgálásához 2020-ig visszamenőleg hozzáférhettünk a projektünk biztonsági mentéseiből származó adatokhoz, és megtaláltuk ezt a módosított oldalt, amely tartalmazott egy algoritmust, amely kiválasztotta, hogy a felhasználóknak a helyes letöltési linket adja-e meg, vagy azt, amely a rosszindulatú .deb fájlt tartalmazó deb.fdmpkg.org hamis domainre vezet. Volt egy "kivételi lista" különböző alhálózatokból származó IP-címekből, köztük a Binghez és a Google-hoz kapcsolódó IP-címekből. Az ezekről az IP-címekről érkező látogatók mindig a helyes letöltési linket kapták.

Őszintén sajnáljuk a történteket, és ismételten arra kérjük felhasználóinkat, akik 2020-2022-ben letöltötték az FDM for Linux-ot, hogy ellenőrizzék a számítógépüket rosszindulatú szoftverek szempontjából. Továbbá szeretnénk megnyugtatni minden Windows és Mac felhasználóinkat, hogy számukra weboldalunk biztonságos volt.