الرئيسية / أخبار تقنية / اكتشاف برامج تجسس تستهدف الأجهزة العاملة بنظام تشغيل لينكس

اكتشاف برامج تجسس تستهدف الأجهزة العاملة بنظام تشغيل لينكس

اكتشف الباحثون في مجال الأمن قطعة نادرة من برامج التجسس الخاصة بنظام تشغيل لينكس والتي لم يتم اكتشافها بشكل كامل حاليًا عبر جميع منتجات برامج الحماية من الفيروسات الرئيسية وتتضمن وظائف نادراً ما تتم مشاهدتها فيما يتعلق بمعظم برامج لينكس الخبيثة.

 من المعروف أن هناك سلالات قليلة جدًا من برامج لينكس الضارة موجودة في البرية مقارنة بفيروسات ويندوز بسبب بنيتها الأساسية وبسبب انخفاض حصتها في السوق كما أن العديد منها لا تملك نطاقًا واسعًا  وظائف.

في السنوات الأخيرة حتى بعد الكشف عن نقاط الضعف الحرجة الشديدة في مختلف انواعها من أنظمة تشغيل وبرامج لينكس فشل مجرمو الإنترنت في الاستفادة من معظمهم في هجماتهم.

بدلاً من ذلك يركز عدد كبير من البرامج الضارة التي تستهدف نظام لينكس بشكل أساسي على هجمات تعدين العملة المشفرة لتحقيق مكاسب مالية وإنشاء شبكات الروبوت DDoS عن طريق الاستيلاء على الخوادم الضعيفة.

ومع ذلك اكتشف الباحثون في شركة الأمن Intezer Labs مؤخرًا عملية زرع مستتر لينكس جديدة والتي يبدو أنها قيد التطوير واختبار المرحلة ولكنها تتضمن بالفعل عدة وحدات ضارة للتجسس على مستخدمي سطح المكتب.

تم تصميم البرنامج الضار المدبب EvilGnome لالتقاط لقطات شاشة لسطح المكتب وسرقة ملفات والتقاط تسجيل صوتي من الميكروفون الخاص بالمستخدم بالإضافة إلى تنزيل وحدات البرامج الضارة من المرحلة الثانية وتنفيذها.

وبحسب تقرير جديد شاركت Intezer Labs مع The Hacker News قبل صدوره تحتوي عينة EvilGnome التي اكتشفتها على VirusTotal أيضًا على وظيفة keylogger غير مكتملة مما يشير إلى أنه تم تحميلها عبر الإنترنت عن طريق مطورها.

تتنكر البرامج الضارة لـ EvilGnome على أنها امتداد جنوم شرعي وهو برنامج يتيح لمستخدمي لينكس توسيع وظائف أجهزة سطح المكتب الخاصة بهم.

ووفقًا للباحثين يتم تسليم عملية الزرع في شكل نص برمجي لأرشيف استخراج ذاتي تم إنشاؤه باستخدام “makeelf” وهو عبارة عن نص برمجي صغير يقوم بإنشاء أرشيف tar مضغوط يمكن استخراجه ذاتيًا من دليل.

تكتسب عملية غرس لينكس ثباتًا على نظام مستهدف يستخدم crontab على غرار جدولة مهام ويندوز ويرسل بيانات المستخدم المسروقة إلى خادم يتحكم فيه المهاجم عن بُعد.

 وقال الباحثون: “يتم تحقيق الثبات من خلال تسجيل ⁦gnome-shell-ext.sh⁩ لتشغيله كل دقيقة في crontab وأخيرًا سينفذ النص ⁦gnome-shell-ext.sh⁩ والذي يقوم بدوره بإطلاق gnome-shell-ext” الرئيسي القابل للتنفيذ.  .

وتحتوي وحدات التجسس EvilGnome على خمس وحدات ضارة تسمى “Shooters” كما هو موضح أدناه:

 ShooterSound – تستخدم هذه الوحدة النمطية PulseAudio لالتقاط الصوت من ميكروفون المستخدم وتحميل البيانات إلى خادم القيادة والتحكم الخاص بالمشغل.

 ShooterImage – تستخدم هذه الوحدة مكتبة القاهرة مفتوحة المصدر لالتقاط لقطات وتحميلها على خادم C&C.  يقوم بذلك عن طريق فتح اتصال بخادم العرض XOrg ، والذي يعد الواجهة الخلفية لسطح مكتب Gnome.

 ShooterFile – تستخدم هذه الوحدة قائمة عوامل التصفية لفحص نظام الملفات بحثًا عن الملفات التي تم إنشاؤها حديثًا وتحميلها إلى خادم C&C.

 ShooterPing – تستقبل الوحدة النمطية أوامر جديدة من خادم C&C مثل تنزيل الملفات الجديدة وتنفيذها وتعيين مرشحات جديدة لمسح الملفات وتنزيل وتعيين تكوين وقت التشغيل الجديد وتصحيح الإخراج المخزن إلى خادم C&C وإيقاف تشغيل أي وحدة الإطلاق.

 ShooterKey – هذه الوحدة غير منفذة وغير مستخدمة والتي على الأرجح عبارة عن وحدة نمطية لتسجيل المفاتيح لم تكتمل.

والجدير بالذكر أن جميع الوحدات المذكورة أعلاه تشفر بيانات الإخراج وفك تشفير الأوامر الواردة من خادم C&C مع مفتاح RC5 “sdg62_AS.sa $ die3” باستخدام نسخة معدلة من مكتبة مفتوحة المصدر الروسية.

وعلاوة على ذلك وجد الباحثون صلات بين مجموعة EvilGnome و Gamaredon Group وهي مجموعة تهديد روسية مزعومة نشطت منذ عام 2013 على الأقل واستهدفت أفرادًا يعملون مع الحكومة الأوكرانية.

وهنا أدناه لقد أطلعت بعض أوجه التشابه بين EvilGnome و Gamaredon Group:

يستخدم EvilGnome موفر استضافة تم استخدامه بواسطة Gamaredon Group لسنوات ولا يزال يستخدم من قبله ووجد EvilGnome أنه يعمل على عنوان IP الذي كانت تسيطر عليه مجموعة Gamaredon قبل شهرين ويستخدم مهاجمو EvilGnome أيضًا TTLD “.space” لنطاقاتهم تمامًا مثل مجموعة Gamaredon.

وتوظف EvilGnome التقنيات والوحدات النمطية مثل استخدام SFX والمثابرة مع جدولة المهام ونشر أدوات سرقة المعلومات التي تذكّر بأدوات ويندوز في Gamaredon Group.

ولمعرفة ما إذا كان نظام Linux مصابًا ببرامج التجسس EvilGnome يمكنك البحث عن الملف التنفيذي “gnome-shell-ext” في دليل “~ / .cache / gnome-software / gnome-shell-extensions”.

ولخص الباحثون إلى “أننا نعتقد أن هذا إصدار سابق لأوانه للاختبار نتوقع أن يتم اكتشاف الإصدارات الأحدث ومراجعتها في المستقبل مما قد يلقي مزيدًا من الضوء على عمليات المجموعة”.

 نظرًا لأن منتجات الحماية ومكافحة الفيروسات تفشل حاليًا في الكشف عن البرامج الضارة لـ EvilGnome يوصي الباحثون بمسؤولي Linux المعنيين بحظر عناوين القيادة والتحكم IP المدرجة في قسم IOC من منشور مدونة Intezer.

عن فدوى

شاهد أيضاً

ثغرة أمنية في منتجات كاسبرسكي تعرض مستخدميها افتراضيًا للتتبع عبر الإنترنت

في هذا العصر الرقمي ينجح نجاح كل شركة تسويق وإعلان وتحليلات تقريبًا من خلال تتبع …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *