قام باحثو الأمن السيبراني بإزالة ما يسمونه برمجيات لينكس الخبيثة “شبه المستحيل اكتشافها” والتي يمكن تسليحها للأنظمة المصابة.
أطلق على البرنامج الخبيث الخفي اسم “Symbiote” من قبل شركتي استخبارات التهديدات BlackBerry و Intezer ، وقد سمي بهذا الاسم نظرًا لقدرته على إخفاء نفسه في العمليات الجارية وحركة مرور الشبكة واستنزاف موارد الضحية مثل الطفيلي.
يُعتقد أن المشغلين الذين يقفون وراء Symbiote قد بدأوا تطوير البرمجيات الخبيثة في نوفمبر 2021 ، حيث استخدمها الفاعل في الغالب لاستهداف القطاع المالي في أمريكا اللاتينية ، بما في ذلك البنوك مثل Banco do Brasil و Caixa ، بناءً على أسماء المجالات المستخدمة.
قال الباحثان يواكيم كينيدي وإسماعيل فالينزويلا في تقرير مشترك مع The Hacker News: “الهدف الرئيسي لـ Symbiote هو الحصول على أوراق الاعتماد وتسهيل الوصول إلى الباب الخلفي لجهاز الضحية”.
واضافوا “ما يجعل Symbiote مختلفًا عن برامج Linux الضارة الأخرى هو أنه يصيب العمليات الجارية بدلاً من استخدام ملف مستقل قابل للتنفيذ لإلحاق الضرر.”
وتابع “يحقق ذلك من خلال الاستفادة من ميزة Linux الأصلية المسماة LD_PRELOAD – وهي طريقة مستخدمة سابقًا بواسطة البرامج الضارة مثل Pro-Ocean و Facefish – بحيث يتم تحميلها بواسطة الرابط الديناميكي في جميع العمليات الجارية وإصابة المضيف”
إلى جانب إخفاء وجوده على نظام الملفات ، تستطيع Symbiote أيضًا إخفاء حركة مرور الشبكة الخاصة بها من خلال الاستفادة من ميزة Berkeley Packet Filter (eBPF) الموسعة. يتم تنفيذ ذلك عن طريق حقن نفسه في عملية برنامج الفحص واستخدام BPF لتصفية النتائج التي من شأنها الكشف عن نشاطه.
هذه ليست المرة الأولى التي يتم فيها اكتشاف برنامج ضار بقدرات مماثلة في البرية. في فبراير 2014 ، كشفت ESET عن باب خلفي لنظام Linux يسمى Ebury تم تصميمه لسرقة بيانات اعتماد OpenSSH والحفاظ على الوصول إلى خادم تم اختراقه.
وخلص الباحثون إلى أنه “نظرًا لأن البرمجيات الخبيثة تعمل كجذر أساسي على مستوى المستخدم ، فقد يكون من الصعب اكتشافها”.
موضحين انه “يمكن استخدام القياس عن بعد للشبكة لاكتشاف طلبات DNS الشاذة ويجب ربط أدوات الأمان مثل AVs و EDRs بشكل ثابت لضمان عدم إصابة “مستخدمي rootkits.”