برنامج ضار جديد في نظام لينكس “من شبه المستحيل اكتشافه”
هناك نوع جديد من البرامج الضارة فريستها الأولى نظام لينكس حيث يسرق بيانات الاعتماد ويسمح بالوصول عن بُعد إلى الأجهزة الضحية، وهو مموه بشكل جيد لدرجة أن الباحثين الذين يدرسون ذلك يقولون إنهم لا يستطيعون استنتاج ما إذا كان يتم استخدامه في حملات هجومية مستهدفة أو واسعة النطاق.
يقول باحثو الأمن من Intezer و BlackBerry’s Research & Intelligence Team إن ما يسمى بالبرامج الضارة Symbiote غير عادية من حيث أنها ليست ملفًا تنفيذيًا خالصًا: إنها في الواقع مكتبة كائنات مشتركة تُحمّل نفسها في عمليات تشغيل الجهاز باستخدام ملف LD_Preload في Linux. كتب الباحثون في مدونة هذا الأسبوع: “بمجرد إصابة جميع العمليات الجارية ، فإنها تزود عامل التهديد بوظيفة الجذور الخفية ، والقدرة على حصد بيانات الاعتماد ، وإمكانية الوصول عن بُعد”.
قالوا إن Symbiote شوهد لأول مرة في نوفمبر 2021، وفي ذلك الوقت بدا أنه تم إنشاؤه لمهاجمة المؤسسات المالية في أمريكا اللاتينية.
“بمجرد أن تصيب البرامج الضارة جهازًا، فإنها تخفي نفسها وأي برامج ضارة أخرى يستخدمها ممثل التهديد، مما يجعل اكتشاف العدوى أمرًا صعبًا للغاية.
قد لا يؤدي إجراء تحقيقات جنائية مباشرة على جهاز مصاب إلى ظهور أي شيء نظرًا لأن جميع الملفات والعمليات والشبكة يتم إخفاء العناصر الأثرية بواسطة البرامج الضارة. بالإضافة إلى إمكانية الجذور الخفية، توفر البرامج الضارة بابًا خلفيًا لممثل التهديد لتسجيل الدخول كأي مستخدم على الجهاز بكلمة مرور مشفرة، وتنفيذ الأوامر بأعلى الامتيازات “، كتب الباحثون .
أثناء اكتشاف الجذور الخفية يمثل تحديًا كبيرًا ، قال الباحثون إن المنظمات يجب أن تراقب طلبات الـDNS المشبوه فيها. لكن الاعتماد على أدوات مكافحة الفيروسات واكتشاف نقاط النهاية والاستجابة لاكتشافها هو أمر محل نقاش: فقد حذر الباحثون من أنه يمكن اختراقها عن طريق الجذور الخفية لأنها مضمنة في “أرض المستخدمين”.