قبل بضعة أيام اكتشف باحثو الأمن سلالة جديدة من برامج Linux الضارة الذي يبدو أنه تم إنشاؤه بواسطة قراصنة صينيين وتم استخدامه كوسيلة للتحكم عن بعد في الأنظمة المصابة.
يسمى HiddenWasp ، يتكون هذا البرنامج الضار من rootkit في وضع المستخدم ، وأحصنة طروادة ، وبرنامج نصي للنشر الأولي.
بخلاف البرامج الضارة الأخرى التي تعمل على Linux ، تظهر الشفرة والأدلة التي تم جمعها أن أجهزة الكمبيوتر المصابة قد تم اختراقها بالفعل من قبل هؤلاء المتسللين أنفسهم.
لذلك سيكون تنفيذ HiddenWasp مرحلة متقدمة في سلسلة تدمير هذا التهديد.
على الرغم من أن المقالة تقول إننا لا نعرف عدد أجهزة الكمبيوتر المصابة أو كيفية تنفيذ الخطوات المذكورة أعلاه ، إلا أنه يجب ملاحظة أن معظم البرامج من نوع الباب الخلفي يتم تثبيتها عن طريق النقر فوق كائن. (رابط أو صورة أو ملف قابل للتنفيذ) ، دون أن يدرك المستخدم أنه يمثل تهديدًا.
الهندسة الاجتماعية ، وهي شكل من أشكال الهجوم تستخدمه أحصنة طروادة لخداع الضحايا لتثبيت حزم برامج مثل HiddenWasp على أجهزة الكمبيوتر أو الأجهزة المحمولة الخاصة بهم ، يمكن أن تكون هي التقنية التي يعتمدها هؤلاء المهاجمون لتحقيق أهدافهم.
في استراتيجية الهروب والردع الخاصة بها ، تستخدم المجموعة برنامج نصي باش مصحوبًا بملف ثنائي. وفقًا لباحثي Intezer ، فإن الملفات التي تم تنزيلها من Total Virus لها مسار يحتوي على اسم جمعية الطب الشرعي في الصين.
حول HiddenWasp
البرامج الضارة يتكون HiddenWasp من ثلاثة مكونات خطيرة مثل Rootkit و Trojan والبرنامج النصي الخبيث.
تعمل الأنظمة التالية كجزء من التهديد.
- التلاعب المحلي في نظام الملفات: يمكن استخدام المحرك لتحميل جميع أنواع الملفات إلى مضيفي الضحايا أو سرقة أي معلومات للمستخدم ، بما في ذلك معلومات النظام والشخصية. هذا أمر مقلق بشكل خاص لأنه يمكن استخدامه للتسبب في جرائم مثل السرقة المالية وسرقة الهوية.
- تنفيذ الأمر: يمكن للمحرك الرئيسي تشغيل جميع أنواع الأوامر تلقائيًا ، بما في ذلك تلك التي لها أذونات الجذر ، إذا تم تضمين تجاوز الأمان هذا.
- تسليم الحمولة الإضافية: يمكن استخدام الإصابات التي تم إنشاؤها لتثبيت برامج ضارة أخرى وتشغيلها ، بما في ذلك خوادم برامج الفدية والعملة المشفرة.
- عمليات طروادة: يمكن استخدام البرامج الضارة HiddenWasp Linux للتحكم في أجهزة الكمبيوتر المتأثرة.
وبالإضافة إلى ذلك، سيتم استضافة البرامج الضارة على خوادم من قبل شركة استضافة خادم فعلية تسمى Think Dream ومقرها هونغ كونغ.
كتب الباحث في Intezer Ignacio Sanmillan في مقالته: "لا تزال برامج Linux الخبيثة غير معروفة للمنصات الأخرى يمكن أن تخلق تحديات جديدة لمجتمع الأمن".
وقال إن "حقيقة أن هذا البرنامج الخبيث نجح في البقاء تحت الرادار يجب أن تكون علامة حمراء لقطاع الأمن لتكريس المزيد من الجهد أو الموارد لاكتشاف هذه التهديدات".
كما علق خبراء آخرون على هذه المسألة ، توم هيجل ، باحث أمني في AT&T Alien Labs:
"هناك الكثير من الأمور المجهولة ، حيث أن القطع الموجودة في مجموعة الأدوات هذه بها بعض التداخل / إعادة الاستخدام مع العديد من الأدوات مفتوحة المصدر. ومع ذلك ، بناءً على نمط التداخل الكبير وتصميم البنية التحتية ، بالإضافة إلى استخدامه في الأهداف ، فإننا نقيم الارتباط مع Winnti Umbrella بثقة عالية ".
تيم إرلين ، نائب الرئيس ، إدارة المنتجات والاستراتيجية في شركة Tripwire:
"HiddenWasp ليست فريدة من نوعها في تقنيتها ، بصرف النظر عن استهداف لينكس. إذا كنت تراقب أنظمة Linux الخاصة بك بحثًا عن تغييرات مهمة في الملفات ، أو لظهور ملفات جديدة ، أو لأي تغييرات أخرى مشبوهة ، فمن المحتمل أن يتم التعرف على البرامج الضارة على أنها HiddenWasp "
كيف أعرف أن نظامي قد تعرض للاختراق؟
للتحقق مما إذا كان نظامهم مصابًا ، يمكنهم البحث عن ملفات "ld.so". إذا كان أي من الملفات لا يحتوي على السلسلة "/etc/ld.so.preload" ، فقد يكون نظامك معرضًا للخطر.
هذا لأن غرسة طروادة ستحاول تصحيح مثيلات ld.so لفرض آلية LD_PRELOAD من المواقع العشوائية.
مصدر: https://www.intezer.com/