Дослідники компанії Flare.io розкрили подробиці нового бекдора для Linux під назвою PamDOORa, який, за наявною інформацією, продається на російськомовному кіберзлочинному форумі Rehub актором під псевдонімом darkworm. Інструмент є постексплуатаційним набором на основі Pluggable Authentication Modules (PAM), що забезпечує прихований постійний доступ до скомпрометованих серверів через OpenSSH. Бекдор націлено на системи Linux архітектури x86_64 і, за повідомленнями, він здатний перехоплювати облікові дані всіх легітимних користувачів, які проходять автентифікацію на зараженій машині. Наразі підтверджених випадків використання PamDOORa у реальних атаках не зафіксовано, однак його функціональність заслуговує на увагу адміністраторів Linux-систем.
Механізм роботи та технічні особливості
PAM — це фреймворк безпеки в Unix/Linux, який дає змогу адміністраторам підключати різні механізми автентифікації (паролі, біометрія, токени) через модульну архітектуру без необхідності переписувати наявні застосунки. Ключова особливість: PAM-модулі, як правило, виконуються з привілеями root, що робить будь-який скомпрометований або шкідливий модуль критично небезпечним.
За даними дослідника Flare.io Ассафа Морага, PamDOORa реалізує кілька взаємопов’язаних механізмів:
- Доступ за «магічним паролем» — бекдор активує прихований вхід у разі використання певної комбінації пароля та TCP-порту, оминаючи стандартну автентифікацію;
- Перехоплення облікових даних — через PAM-хуки інструмент збирає паролі всіх користувачів, які проходять легітимну автентифікацію на сервері;
- Антифорензіка — PamDOORa цілеспрямовано модифікує журнали автентифікації, видаляючи сліди шкідливої активності;
- Захист від налагодження — вбудовані механізми протидії аналізу;
- Мережеві тригери — активація за певних мережевих умов;
- Конвеєр збирання — наявність билдера для генерування модулів під конкретні цілі.
Важливо враховувати контекст, на який ще у вересні 2024 року вказувала компанія Group-IB: PAM не зберігає паролі, а передає значення у відкритому вигляді між модулями. Модуль pam_exec, призначений для запуску зовнішніх команд, може бути використаний зловмисником для впровадження шкідливих скриптів у конфігураційні файли PAM, що дає змогу отримати привілейовану оболонку та забезпечити приховане закріплення в системі.
Контекст появи на ринку
За повідомленнями, початкова ціна PamDOORa становила $1 600 (оголошення від 17 березня 2026 року). До 9 квітня актор darkworm знизив вартість майже на 50% — до $900. Таке зниження може свідчити про відсутність інтересу з боку покупців або про прагнення пришвидшити продаж.
За оцінкою Морага, PamDOORa є еволюцією порівняно з наявними відкритими PAM-бекдорами. Хоча кожна з використаних технік окремо добре задокументована, їх інтеграція в єдиний модульний імплант з антиналагодженням, мережевими тригерами та конвеєром збирання наближає інструмент до рівня операторського шкідливого ПЗ — на відміну від грубих proof-of-concept скриптів з публічних репозиторіїв.
Ймовірний сценарій використання передбачає, що зловмисник спочатку отримує root-доступ до хоста іншим способом, а потім розгортає PamDOORa для перехоплення облікових даних і організації постійного доступу через SSH.
Оцінка впливу
Найбільшому ризику піддаються організації, які використовують Linux-сервери з OpenSSH-автентифікацією через PAM — тобто переважна більшість серверних Linux-інфраструктур. Особливу небезпеку PamDOORa становить для:
- серверів з прямим SSH-доступом з інтернету;
- інфраструктур, де моніторинг цілісності PAM-модулів не налаштований;
- середовищ, де компрометація одного сервера може призвести до латерального переміщення завдяки перехопленим обліковим даним.
Антифорензічні можливості інструмента погіршують ситуацію: модифікація журналів автентифікації ускладнює виявлення компрометації стандартними засобами аналізу логів.
Рекомендації щодо захисту
Оскільки PamDOORa потребує попереднього отримання root-доступу, захист вибудовується на кількох рівнях:
- Моніторинг цілісності PAM-модулів: налаштуйте контроль змін файлів у директоріях
/lib/security/,/lib64/security/та конфігураційних файлів у/etc/pam.d/за допомогою інструментів на кшталт AIDE, OSSEC або Tripwire; - Аудит pam_exec: перевірте конфігурації PAM на наявність викликів pam_exec, що виконують нестандартні скрипти — команда
grep -r "pam_exec" /etc/pam.d/допоможе виявити підозрілі записи; - Контроль привілейованого доступу: мінімізуйте кількість облікових записів із root-привілеями, використовуйте багатофакторну автентифікацію для SSH;
- Централізований збір логів: надсилайте журнали автентифікації на окремий захищений сервер, щоб нейтралізувати локальну модифікацію логів;
- Мережева сегментація: обмежте SSH-доступ за IP-адресами та використовуйте jump hosts для зменшення площі атаки;
- Перевірка хешів: періодично звіряйте контрольні суми PAM-бібліотек з еталонними значеннями з пакетів дистрибутива — команда
rpm -V pam(для RPM-систем) абоdebsums libpam-modules(для Debian/Ubuntu).
Попри відсутність підтверджених випадків використання PamDOORa у реальних атаках, сам факт появи комерційного інструмента такого рівня на кіберзлочинному ринку сигналізує про зростання інтересу до атак на стек автентифікації Linux. Пріоритетна дія для адміністраторів — запровадити контроль цілісності PAM-модулів і централізований збір логів автентифікації, якщо цього ще не зроблено. Ці заходи ефективні не лише проти PamDOORa, а й проти будь-яких атак, що експлуатують модульну архітектуру PAM.
