„Symbiote Linux“ kenkėjiška programa skrenda po radaru

„BlackBerry Threat Research“ saugumo ekspertai paskelbė bendrą tyrimo įrašą apie naują „Linux“ kenkėjiškų programų atmainą, pavadintą „Symbiote“.

Kenkėjiška programa pirmą kartą buvo aptikta 2022 m. pradžioje. Pagrindinis jos akcentas yra tai, kaip sunku ją aptikti – komanda „Symbiote“ vadina „beveik neįmanoma“ aptikti sistemoje.

„Symbiote“ veikia kaip bendrinama objektų biblioteka tikslinėje sistemoje, priešingai nei dauguma „Linux“ kenkėjiškų programų, kurios sieks pažeisti jau veikiančius procesus. Vietoj to, „Symbiote“ įkeliama į visus veikiančius procesus nukentėjusioje sistemoje naudojant VIA_PRELOAD.

Visiškai įdiegta, Symbiote siūlo savo operatoriams rootkit galimybes. Kenkėjiška programinė įranga naudoja „Berkeley Packet Filter“ ryšį, leidžiantį užmaskuoti kenkėjišką paketų srautą užkrėstoje sistemoje. Tyrėjai paaiškino, kad jei sistemos administratorius bando naudoti paketų fiksavimo ir stebėjimo įrankį, kad galėtų ieškoti kenkėjiškos veiklos, „Symbiote“ įves „Berkeley“ paketų filtro baitinį kodą, nurodantį branduoliui, kuriuos paketus užfiksuoti, leisdama kenkėjiškajai programai formuoti srautą, rodomą užfiksuoti.

„Symbiote“ išlaiko labai žemą profilį, iš anksto įkeliama prieš visus kitus bendrinamus sistemos objektus, todėl jis gali likti paslėptas. Jis taip pat gali surinkti kredencialus iš pažeistų sistemų.

Anksčiausiai aptiktas Symbiote kenkėjiškos programos pavyzdys datuojamas 2021 m. pabaigoje ir greičiausiai buvo naudojamas Pietų Amerikos bankų institucijoms.