У мережі виявлено новий тип прихованого ПЗ для систем на базі Linux, названий PamDOORa, який впроваджується безпосередньо в модулі автентифікації. Бекдор діє як посередник під час процесу входу користувача в систему, перехоплюючи паролі SSH у відкритому вигляді ще до їх шифрування. Протягом останніх 24 годин зафіксовано випадки використання PamDOORa в цілеспрямованих атаках на урядові сервери та дата-центри великих технологічних компаній. Оскільки шкідливий код працює на рівні системної автентифікації, він залишається невидимим для більшості стандартних систем моніторингу процесів та цілісності файлів, що робить його виявлення вкрай складним.

Згідно з технічними деталями, PamDOORa встановлюється через експлуатацію вразливостей з підвищенням привілеїв і підміняє легітимний файл pam_unix.so на модифіковану версію. Окрім крадіжки паролів, бекдор створює прихований канал зв’язку, що дозволяє зловмисникам віддалено виконувати команди з правами root. Усі перехоплені дані зберігаються у зашифрованому локальному файлі, який періодично вивантажується на зовнішній сервер за допомогою DNS-тунелювання для обходу брандмауерів. Аналіз коду вказує на високий рівень професіоналізму авторів, які інтегрували механізми самознищення у разі спроби проведення реверс-інжинірингу або виявлення середовища пісочниці. Цей інцидент підкреслює зростаючу зацікавленість хакерів у компрометації низькорівневих компонентів серверних ОС.