براساس آخرین خبرهای بهدست آمده، بدافزار جدیدی برای لینوکس کشف شده است که میتواند از شناسایی توسط برنامههای آنتیویروس درامان بماند، دادههای حساس از دستگاه قربانیان بدزدد و همه فرایندهای در حال اجرا روی دستگاه قربانی را آلوده کند.
محققان امنیتی سایبری از موسسه Intezer Labs میگویند که این بدافزار که OrBit نامگذاری شده است، میتواند متغیر محیطی LD_PRELOAD را تغییر دهد تا با استفاده از این موضوع اجازه ربودن لایبراریهای مشترک را داشته باشد تا بتواند ارتباطات توابع را ردگیری کند.
نیکول فیشبین، محقق موسسه Intezer Labs میگوید:
این بدافزار تکنیکهای پیشرفته فرار از پیدا شدن را پیادهسازی میکند و با اتصال عملکردهای کلیدی روی دستگاه میتواند پایداری کند، قابلیتهای دسترسی از راه دور روی SSH را برای افراد سودجو فراهم آورد، اعتبارنامهها را جمعآوری کند و در نهایت دستورات TTY با ثبت نماید.
در زمانی که این بدافزار روی دستگاه شما نصب میشود، تمام فرایندهای در حال اجرا، از جمله فرایندهای جدیدی که اضافه میشوند، را آلوده خواهد کرد. محققان امنیتی میگوید که اکثر روشهایی که آنتیویروسهای بزرگ دنیا میتوانند با استفاده از آنها ویروسها را شناسایی کنند، روی OrBit جواب نمیدهند. البته در این بین هم برخی از ارائهدهندگان خدمات بدافزار توانستهاند با محصولات خود، OrBit را شناسایی کنند.
فیشبین در پایان گفت:
این بدافزار اطلاعات را از دستورات و ابزارهای مختلف میدزدد و آنها را در فایلهای خاصی روی دستگاه ذخیره میکند. علاوهبراین، استفاده گستردهای از فایلها برای ذخیره دادهها وجود دارد که ما چنین چیزی را بههیچ عنوان در گذشته ندیده بودیم.
او سپس ادامه داد:
چیزی که این بدافزار را به یکی از جالبترین نمونهها تبدیل میکند، آلوده کردن لایبراریهای موجود روی کامپیوتر قربانی است که به بدافزار این اجازه را میدهد تا در حین سرقت اطلاعات و تنظیم SSH بهعنوان در پشتی، پایداری بسیار خوبی داشته باشد و بههیچ عنوان شناسایی نشود.
رسانه BleepingComputer در مورد این بدافزار دریافته است که توسعهدهندگان آن در روزهای اخیر در پلتفرم لینوکس کاملا فعال بودهاند. علاوهبر OrBit، بدافزار Symbiote اخیرا کشف شده نیز از دستورالعمل LD-PRELOAD برای بارگیری خود در فرایندهای در حال اجرا استفاده میکند. این نشریه ادعا میکند که این بدافزار بهصورت یک انگل در تمام سیستم عمل میکند و هیچ رد و نشانهای هم از خود به جا نمیگذارد!
از طرفی دیگر هم بدافزار BPFDoor را داریم که یک بدافزار کاملا مشابه است. این بدافزار بهصورتی مستقیم به سیستمهای لینوکسی حمله میکند و با استفاده از یکسری اسمهای پیشفرض موجود در این سیستمعامل پنهان میشود. این روش توانسته بود به بدافزار گفته شده کمک کند که تا پنج سال توسط هیچ آنتیویروسی کشف نشود.