Kyberšpionážní skupina ruského původu známá jako Pawn Storm infikuje linuxové systémy jednoduchým, ale účinným trojským koněm, který nepotřebuje privilegovaný přístup.
Skupina počítačových útočníků Pawn Storm, zvaná také APT28, Sofacy nebo Sednit, je aktivní nejméně od roku 2007. V průběhu let útočila na státní instituce, bezpečnostní a vojenské složky členských zemí NATO, armádní dodavatele, mediální organizace, ukrajinské politické aktivisty a kritiky Kremlu.
S oblibou využívá dosud neznámé bezpečnostní nedostatky – tzv. zranitelnosti nultého dne – i další techniky jako phishingové e-maily s infikovanými přílohami. Jejím hlavním nástrojem je program zvaný Sednit, který otevírá zadní vrátka do systému Windows, ale využívá i malware pro Mac OS X, Linux a mobilní operační systémy.
Preferovaným linuxovým malwarem skupiny Pawn Storm je trojský kůň Fysbis. Jeho modulární architektura umožňuje útočníkům rozšiřovat jeho funkcionalitu pomocí zásuvných modulů podle aktuální potřeby.
Fysbis se dokáže nainstalovat do systému oběti i bez oprávnění superuživatele. Útočník tím dostává na výběr, který účet k instalaci využije.
Jako kyberšpionážní nástroj je Fysbis určený primárně ke krádeži dat. I když nezíská přístup k celému systému, dokáže ukrást potenciálně citlivé dokumenty, k nimž má uživatel přístup, případně sledovat historii navštívených internetových stránek a další aktivity uživatele.
Bezpečnostní experti varují, že navzdory obecně lepšímu zabezpečení linuxových systémů malware pro Linux existuje a stále více kyberzločineckých a kyberšpionážních skupin jej zařazuje do svého arzenálu.