Το κακόβουλο λογισμικό Symbiote Linux πετά κάτω από το ραντάρ

Οι ειδικοί σε θέματα ασφάλειας της BlackBerry Threat Research δημοσίευσαν μια κοινή ερευνητική δημοσίευση για ένα νέο είδος κακόβουλου λογισμικού Linux, που ονομάζεται Symbiote.

Το κακόβουλο λογισμικό ανακαλύφθηκε για πρώτη φορά στις αρχές του 2022. Το κύριο χαρακτηριστικό του είναι πόσο δύσκολο είναι να εντοπιστεί - η ομάδα αποκαλεί το Symbiote "σχεδόν αδύνατο" να εντοπιστεί σε ένα σύστημα.

Το Symbiote λειτουργεί σαν μια κοινόχρηστη βιβλιοθήκη αντικειμένων στο σύστημα προορισμού, σε αντίθεση με τα περισσότερα κακόβουλα προγράμματα Linux που επιδιώκουν να θέσουν σε κίνδυνο τις ήδη εκτελούμενες διαδικασίες. Αντίθετα, το Symbiote φορτώνεται σε όλες τις διεργασίες που εκτελούνται στο σύστημα θύματος χρησιμοποιώντας το VIA_PRELOAD.

Μόλις αναπτυχθεί πλήρως, το Symbiote προσφέρει δυνατότητες rootkit στους χειριστές του. Το κακόβουλο λογισμικό κάνει χρήση του αγκίστρου του φίλτρου πακέτων Berkeley, το οποίο του επιτρέπει να κρύψει την επισκεψιμότητα κακόβουλων πακέτων σε ένα μολυσμένο σύστημα. Οι ερευνητές εξήγησαν ότι εάν ένας διαχειριστής συστήματος επιχειρήσει να χρησιμοποιήσει ένα εργαλείο καταγραφής και παρακολούθησης πακέτων για να αναζητήσει κακόβουλη δραστηριότητα, η Symbiote θα εισαγάγει τον bytecode του φίλτρου πακέτων Berkeley που λέει στον πυρήνα ποια πακέτα να συλλάβει, επιτρέποντας στο κακόβουλο λογισμικό να διαμορφώσει την κίνηση που εμφανίζεται στο πιάνω.

Το Symbiote διατηρεί ένα πολύ χαμηλό προφίλ, προεγκατεστημένο πριν από όλα τα άλλα κοινόχρηστα αντικείμενα στο σύστημα, κάτι που του επιτρέπει να παραμένει κρυφό. Μπορεί επίσης να συλλέξει διαπιστευτήρια από τα παραβιασμένα συστήματα.

Το πρώτο δείγμα κακόβουλου λογισμικού Symbiote που ανακαλύφθηκε χρονολογείται από τα τέλη του 2021 και πιθανότατα χρησιμοποιήθηκε για να στοχεύσει τραπεζικά ιδρύματα στη Νότια Αμερική.