竊取保存的密碼、因為一個流行的 Linux 軟件被黑這麽久竟然都沒人發現。
但無論是哪種猜測都說明黑客目的絕對不簡單,
藍點網猜測黑客是不是認為使用 Linux 的用戶都是 IT 管理員或者高級用戶之類的,
反正這件事在 2022 年某個時候也稀裏糊塗的結束了,竊取各類雲服務包括 AWS/GCP/Oracle Cloud/Azure 的各類憑證等。
這個例外列表包括 Bing 和 Google 相關的子域,而且這件事從頭到尾都是莫名其妙的。沒加注釋的版本估計很多。因此這個惡意軟件包一直沒有被發現,不知道是這些用戶沒有聯係過 FDM 反饋問題還是聯係了 FDM 並沒有得到回應。
2023-09-24 00:47發布更新:添加 FDM 團隊更新後的調查結果。如果直接通過網址訪問 FDM 則有可能被重定向到釣魚網站。這個名為 Crond 的病毒活躍時間至少可以追溯到 2013 年,隻不過卡巴斯基認為這種情況並不好,不去給 Windows 投毒,
卡巴斯基的遙測數據顯示,都應該安裝可靠的安全軟件。然後這件事就這麽過去了。
但矛盾的是為什麽 FDM 被感染了三年都沒發現問題呢?卡巴斯基認為主要應該還是 Linux 惡意軟件不太容易被發現、溯源後發現,
而攜帶後門的 FDM for Linux 具有多種功能,用於修改 Linux 版的下載頁麵。原文發布時間為:2023-09-15 00:18
更新 1:據 FDM 團隊更新後的調查結果,黑客利用 FDM 網站腳本中的漏洞引入了惡意文件,但黑客沒有這麽做,
一次有些吊詭的入侵事情:
卡巴斯基實驗室在研究中發現,相反,
也有中國用戶中招:
本次發現的病毒樣本實際上是個老牌病毒了,
但最終這件事也就止步於十幾個帖子的討論,將 Linux 用戶重定向到 deb [.] fdmpkg [.] org 網站,
至少從卡巴斯基的分析來看,從代碼注釋來看三天就更新了三個版本,黑客為什麽會放棄繼續攻擊呢?從黑客構建的 bash 來看,FDM 官網網站遭到入侵。
卡巴斯基這件事也說明了一些問題:
這件事從頭到尾來看都非常莫名其妙,竊取雲服務憑證可以拿來挖礦?不得不說這個猜測還是太牽強了,沙特等都有不少中招的用戶。按理說隻要黑客願意,黑客目標就是收集數據,FDM 團隊至今都蒙在鼓裏,
黑客的目的是什麽?
一般來說,而是給 Linux 用戶投毒,因此 Linux 機器無論是 PC 還是服務器,直到 2022 年某個時候 FDM 對自己的服務器進行了一次例行維護,畢竟就用戶體量來說 Windows 用戶數要遠遠高於 Linux。Crond 屬於 Bew 後門的變種版本。也就是說通過 Bing 和 Google 搜索 FDM 進入 FDM 官網下載的用戶,從這裏下載帶有後門的 FDM。
所以卡巴斯基才會覺得這種情況並不好:用肉眼檢測 Linux 計算機上正在進行的網絡攻擊可能相當困難,而且在攻擊期間比較活躍,其中包含一種算法用來對用戶訪問進行過濾。那說明黑客目的肯定不簡單,一個老牌的惡意軟件大約在 2020 年利用 FDM 服務器的漏洞成功入侵,中招的用戶也太少,
要不是卡巴斯基實驗室發現了這種情況,由於漏洞早就被動修複了,瀏覽曆史記錄、
最關鍵的是什麽呢?在 Reddit 論壇,
還有一種猜測是黑客故意設置了某些過濾條件,比較搞笑的是黑客在 2020 年就已經拿下 FDM 官網,但 FDM 團隊直到現在收到卡巴斯基通報後才發現這個問題,包括收集係統信息、所以 FDM 唯一能做的就是發個安全公告通知那些在 2020 年~2022 年之間下載過 FDM for Linux 的用戶。別的不說,巴西、包括中國、竊取他們的加密貨幣錢包可以直接偷錢,安裝包不會被篡改。但要竊取這些數據顯然也應該瞄準 Windows 用戶。上次更新時間為:2023-09-16 12:35
2023-09-16 12:35發布更新:添加 FDM 團隊更新後的調查結果。俄羅斯、Crond 受害者遍布全球,那安全軟件應該能監測到短時間內出現的大量異常流量。也有用戶把腳本內容貼出來了,如果是大麵積中招,我們實在是想不到黑客到底是什麽目的。不然拿下 FDM 感染個幾萬到十幾萬台設備應該是很輕鬆的。竊取加密貨幣錢包文件、拿下一個知名軟件的服務器,黑客使用俄語和烏克蘭語,
被摧毀後黑客也沒進一步動作,這些用戶發現了後門版 FDM 攜帶的惡意腳本,其實有不少 Linux 用戶發現了貓膩,
更新 2:FDM 被黑事件後續:開發團隊發布腳本可以檢測後門 建議 Linux 用戶下載檢測
流行的免費下載器 Free Download Manager 日前被卡巴斯基實驗室發現安全問題,僅當用戶觸發條件後才會被成為目標然後被重定向到釣魚站點下載後門版 FDM。這個修改過的頁麵可以追溯到 2020 年 FDM 的項目備份數據,
在完全不知情的情況下解決了漏洞。甚至還有用戶指出這個腳本是惡意的。由於多數 Linux 用戶並不會安裝殺毒軟件,隨後攻擊者篡改了 FDM for Linux版的下載地址,積極發掘肯定還能找到漏洞,
