Дослідники компанії Flare.io розкрили подробиці нового бекдора для Linux під назвою PamDOORa, який, за наявною інформацією, продається на російськомовному кіберзлочинному форумі Rehub актором під псевдонімом darkworm. Інструмент є постексплуатаційним набором на основі Pluggable Authentication Modules (PAM), що забезпечує прихований постійний доступ до скомпрометованих серверів через OpenSSH. Бекдор націлено на системи Linux архітектури x86_64 і, за повідомленнями, він здатний перехоплювати облікові дані всіх легітимних користувачів, які проходять автентифікацію на зараженій машині. Наразі підтверджених випадків використання PamDOORa у реальних атаках не зафіксовано, однак його функціональність заслуговує на увагу адміністраторів Linux-систем.

Механізм роботи та технічні особливості

PAM — це фреймворк безпеки в Unix/Linux, який дає змогу адміністраторам підключати різні механізми автентифікації (паролі, біометрія, токени) через модульну архітектуру без необхідності переписувати наявні застосунки. Ключова особливість: PAM-модулі, як правило, виконуються з привілеями root, що робить будь-який скомпрометований або шкідливий модуль критично небезпечним.

За даними дослідника Flare.io Ассафа Морага, PamDOORa реалізує кілька взаємопов’язаних механізмів:

• Доступ за «магічним паролем» — бекдор активує прихований вхід у разі використання певної комбінації пароля та TCP-порту, оминаючи стандартну автентифікацію;
• Перехоплення облікових даних — через PAM-хуки інструмент збирає паролі всіх користувачів, які проходять легітимну автентифікацію на сервері;
• Антифорензіка — PamDOORa цілеспрямовано модифікує журнали автентифікації, видаляючи сліди шкідливої активності;
• Захист від налагодження — вбудовані механізми протидії аналізу;
• Мережеві тригери — активація за певних мережевих умов;
• Конвеєр збирання — наявність билдера для генерування модулів під конкретні цілі.

Важливо враховувати контекст, на який ще у вересні 2024 року вказувала компанія Group-IB: PAM не зберігає паролі, а передає значення у відкритому вигляді між модулями. Модуль pam_exec, призначений для запуску зовнішніх команд, може бути використаний зловмисником для впровадження шкідливих скриптів у конфігураційні файли PAM, що дає змогу отримати привілейовану оболонку та забезпечити приховане закріплення в системі.

Контекст появи на ринку

За повідомленнями, початкова ціна PamDOORa становила $1 600 (оголошення від 17 березня 2026 року). До 9 квітня актор darkworm знизив вартість майже на 50% — до $900. Таке зниження може свідчити про відсутність інтересу з боку покупців або про прагнення пришвидшити продаж.

За оцінкою Морага, PamDOORa є еволюцією порівняно з наявними відкритими PAM-бекдорами. Хоча кожна з використаних технік окремо добре задокументована, їх інтеграція в єдиний модульний імплант з антиналагодженням, мережевими тригерами та конвеєром збирання наближає інструмент до рівня операторського шкідливого ПЗ — на відміну від грубих proof-of-concept скриптів з публічних репозиторіїв.

Ймовірний сценарій використання передбачає, що зловмисник спочатку отримує root-доступ до хоста іншим способом, а потім розгортає PamDOORa для перехоплення облікових даних і організації постійного доступу через SSH.

Оцінка впливу

Найбільшому ризику піддаються організації, які використовують Linux-сервери з OpenSSH-автентифікацією через PAM — тобто переважна більшість серверних Linux-інфраструктур. Особливу небезпеку PamDOORa становить для:

• серверів з прямим SSH-доступом з інтернету;
• інфраструктур, де моніторинг цілісності PAM-модулів не налаштований;
• середовищ, де компрометація одного сервера може призвести до латерального переміщення завдяки перехопленим обліковим даним.

Антифорензічні можливості інструмента погіршують ситуацію: модифікація журналів автентифікації ускладнює виявлення компрометації стандартними засобами аналізу логів.

Рекомендації щодо захисту

Оскільки PamDOORa потребує попереднього отримання root-доступу, захист вибудовується на кількох рівнях:

• Моніторинг цілісності PAM-модулів: налаштуйте контроль змін файлів у директоріях /lib/security/, /lib64/security/ та конфігураційних файлів у /etc/pam.d/ за допомогою інструментів на кшталт AIDE, OSSEC або Tripwire;
• Аудит pam_exec: перевірте конфігурації PAM на наявність викликів pam_exec, що виконують нестандартні скрипти — команда grep -r "pam_exec" /etc/pam.d/ допоможе виявити підозрілі записи;
• Контроль привілейованого доступу: мінімізуйте кількість облікових записів із root-привілеями, використовуйте багатофакторну автентифікацію для SSH;
• Централізований збір логів: надсилайте журнали автентифікації на окремий захищений сервер, щоб нейтралізувати локальну модифікацію логів;
• Мережева сегментація: обмежте SSH-доступ за IP-адресами та використовуйте jump hosts для зменшення площі атаки;
• Перевірка хешів: періодично звіряйте контрольні суми PAM-бібліотек з еталонними значеннями з пакетів дистрибутива — команда rpm -V pam (для RPM-систем) або debsums libpam-modules (для Debian/Ubuntu).

Попри відсутність підтверджених випадків використання PamDOORa у реальних атаках, сам факт появи комерційного інструмента такого рівня на кіберзлочинному ринку сигналізує про зростання інтересу до атак на стек автентифікації Linux. Пріоритетна дія для адміністраторів — запровадити контроль цілісності PAM-модулів і централізований збір логів автентифікації, якщо цього ще не зроблено. Ці заходи ефективні не лише проти PamDOORa, а й проти будь-яких атак, що експлуатують модульну архітектуру PAM.