### Новое вредоносное ПО для Linux
Вредоносное программное обеспечение, позволяющее операторам удаленно управлять скомпрометированным устройством, оставалось незамеченным более двух лет, как сообщают эксперты.
Компанией Stroz Friedberg, которая обнаружила это вредоносное ПО и подготовила подробный отчет, было установлено, что данное ПО называется «sedexp» и остается незамеченным с 2022 года.
#### Злоупотребление правилами udev
Согласно отчету, sedexp удалось избежать обнаружения благодаря использованию правил udev.
Udev — это менеджер устройств для ядра Linux, отвечающий за управление узлами устройств в каталоге /dev. Он динамически создает и удаляет узлы устройств в зависимости от подключенных к системе устройств, таких как USB-накопители, принтеры и сетевые интерфейсы. Также udev гарантирует, что каждому узлу загружается правильный драйвер в память.
Правила udev — это текстовые конфигурации, которые указывают менеджеру устройств, как управлять разными устройствами или событиями. Чтобы запустить вредоносное ПО и обеспечить его скрытность, оно добавляет специфическое правило в udev. Более того, процесс вредоносного ПО назван ‘kdevtmpfs’, что совпадает с именем другого, легитимного процесса, что значительно усложняет его обнаружение.
Компания Stroz Friedberg считает, что это вредоносное ПО используется как минимум с 2022 года и было обнаружено в многочисленных онлайн-песочницах, ни одна из которых не вызвала тревог антивирусов. Исследователи полагают, что данное ПО использовалось для скрытия программы, считывающей данные кредитных карт.
Источник: TechRadar
