知名免费下载器FDM被黑三年多才被发现
流行的免费下载器 Free Download Manager 日前被卡巴斯基实验室发现安全问题,FDM 官网网站遭到入侵。比较搞笑的是黑客在 2020 年就已经拿下 FDM 官网,但 FDM 团队直到现在收到卡巴斯基通报后才发现这个问题,而且这件事从头到尾都是莫名其妙的。
一次有些吊诡的入侵事情:
卡巴斯基实验室在研究中发现,一个老牌的恶意软件大约在 2020 年利用 FDM 服务器的漏洞成功入侵,随后攻击者篡改了 FDM for Linux 版的下载地址,将 Linux 用户重定向到 deb [.] fdmpkg [.] org 网站,从这里下载带有后门的 FDM。
由于多数 Linux 用户并不会安装杀毒软件,因此这个恶意软件包一直没有被发现,直到 2022 年某个时候 FDM 对自己的服务器进行了一次例行维护,在完全不知情的情况下解决了漏洞。
被摧毁后黑客也没进一步动作,按理说只要黑客愿意,积极发掘肯定还能找到漏洞,但黑客没有这么做,然后这件事就这么过去了。
要不是卡巴斯基实验室发现了这种情况,FDM 团队至今都蒙在鼓里,由于漏洞早就被动修复了,所以 FDM 唯一能做的就是发个安全公告通知那些在 2020 年~2022 年之间下载过 FDM for Linux 的用户(不影响 Windows 和其他系统的用户)。
黑客的目的是什么?
一般来说,拿下一个知名软件的服务器,不去给 Windows 投毒,而是给 Linux 用户投毒,那说明黑客目的肯定不简单,毕竟就用户体量来说 Windows 用户数要远远高于 Linux。
而携带后门的 FDM for Linux 具有多种功能,包括收集系统信息、浏览历史记录、窃取保存的密码、窃取加密货币钱包文件、窃取各类云服务包括 AWS/GCP/Oracle Cloud/Azure 的各类凭证等。
至少从卡巴斯基的分析来看,黑客目标就是收集数据,但要窃取这些数据显然也应该瞄准 Windows 用户。
蓝点网猜测黑客是不是认为使用 Linux 的用户都是 IT 管理员或者高级用户之类的,窃取他们的加密货币钱包可以直接偷钱,窃取云服务凭证可以拿来挖矿?不得不说这个猜测还是太牵强了,我们实在是想不到黑客到底是什么目的。
还有一种猜测是黑客故意设置了某些过滤条件,仅当用户触发条件后才会被成为目标然后被重定向到钓鱼站点下载后门版 FDM。
但无论是哪种猜测都说明黑客目的绝对不简单,不然拿下 FDM 感染个几万到十几万台设备应该是很轻松的。
卡巴斯基这件事也说明了一些问题:
这件事从头到尾来看都非常莫名其妙,别的不说,黑客为什么会放弃继续攻击呢?从黑客构建的 bash 来看,黑客使用俄语和乌克兰语,而且在攻击期间比较活跃,从代码注释来看三天就更新了三个版本,没加注释的版本估计很多。
反正这件事在 2022 年某个时候也稀里糊涂的结束了,只不过卡巴斯基认为这种情况并不好,因为一个流行的 Linux 软件被黑这么久竟然都没人发现。
最关键的是什么呢?在 Reddit 论坛,其实有不少 Linux 用户发现了猫腻,这些用户发现了后门版 FDM 携带的恶意脚本,也有用户把脚本内容贴出来了,甚至还有用户指出这个脚本是恶意的。
但最终这件事也就止步于十几个帖子的讨论,不知道是这些用户没有联系过 FDM 反馈问题还是联系了 FDM 并没有得到回应。
所以卡巴斯基才会觉得这种情况并不好:用肉眼检测 Linux 计算机上正在进行的网络攻击可能相当困难,因此 Linux 机器无论是 PC 还是服务器,都应该安装可靠的安全软件。
也有中国用户中招:
本次发现的病毒样本实际上是个老牌病毒了,这个名为 Crond 的病毒活跃时间至少可以追溯到 2013 年,Crond 属于 Bew 后门的变种版本。
卡巴斯基的遥测数据显示,Crond 受害者遍布全球,包括中国、俄罗斯、巴西、沙特等都有不少中招的用户。
但矛盾的是为什么 FDM 被感染了三年都没发现问题呢?卡巴斯基认为主要应该还是 Linux 恶意软件不太容易被发现、中招的用户也太少,如果是大面积中招,那安全软件应该能监测到短时间内出现的大量异常流量。