No fim de março, descobriu-se a inclusão de um backdoor – ferramenta maliciosa que permite realizar um acesso remoto não autorizado – no XZ, a ferramenta de compactação de arquivos muito usada no sistema Linux. A análise prévia da ameaça mostrou que ela é extremamente sofisticada em forma de execução, evasão e pelo seu impacto (potenciais perdas às organizações) em servidores SSH. Como grandes fornecedores de Linux usaram o componente malicioso em versões de teste e experimentais, o comprometimento do XZ (CVE-2024–3094) foi classificado como gravíssimo e foi atribuído a pontuação 10.
CONTEÚDO RELACIONADO: Empresa descobre campanha de phishing mirando indústrias de petróleo e gás
O ataque teve início ao comprometer uma biblioteca legítima muito usada por componentes do sistema operacional Linux – e por isso é classificado como supply chain. Os especialistas da Kaspersky explicam que ele foi criado de maneira muito inteligente, pois insere o código da backdoor enquanto o pacote está sendo compilado nos build-servers (servidores que distribuem pacotes para distribuições Linux) – que é integrado aos repositórios Linux, permitindo aos invasores controlarem as máquinas em que esta biblioteca estiver instalada. Também é possível usar esta backdoor para outros tipos de ataques, dependendo da intenção dos criminosos.
A Kaspersky salienta que a implementação do backdoor foi realizada de maneira muito furtiva, o que dificultou sua identificação pela comunidade do Linux, além da complexidade dos códigos do malware. “A maneira como a infecção usa códigos legítimos para tarefas maliciosas também foi muito inteligente e demonstra a familiaridade do invasor (desenvolvedor) com o sistema operacional visado”, afirma Anderson Leite, pesquisador de segurança da Kaspersky no Brasil.
Os especialistas da Kaspersky já investigaram o caso e garantem que os clientes da empresa não serão afetados por essa vulnerabilidade. As tecnologias da empresa detectam essa ameaça com o nome HEUR:Trojan.Script.XZ.a e Trojan.Shell.Xz.a. Já a solução de proteção da empresa para Linux também consegue realizar a detecção o processo malicioso sshd na memória como MEM:Trojan.Linux.XZ.a (como parte da varredura de áreas críticas).
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).