محققان می گویند که یک قطعه پیشرفته از نرم افزارهای مخرب لینوکس را شناسایی کرده اند که از طریق آنتی ویروس شناسایی شده اند و به نظر می رسد که در حملات هدفمند مورد استفاده قرار می گیرد.
محققان شرکت امنیتی Intezer در روز چهارشنبه گزارش دادند که HiddenWasp، به عنوان بدافزار، یک مجموعه کامل از نرم افزارهای مخرب است که شامل یک تروجان، rootkit و اسکریپت اولیه استقرار است. در آن زمان Post Intezer به طور زنده پخش شد، سرویس VirusTotal مخرب نشان داد که Wasp پنهان توسط هیچ یک از 59 آنتی ویروس که آن را دنبال می کند، تشخیص داده نمی شود، اگرچه برخی از آنها شروع به پرچم گذاری کرده اند. تمبرهای زمان در یکی از 10 فایل Intezer تجزیه و تحلیل نشان داد که ماه گذشته ایجاد شد. سرور مرکزی و فرماندهی که کامپیوترهای آلوده را گزارش می دهند در زمانی که این مقاله در حال آماده سازی بود عملیات خود را ادامه داد.
برخی از شواهد مورد تجزیه و تحلیل، از جمله کد نشان می دهد که رایانه های آن را آلوده می کند در حال حاضر توسط همان حمله کنندگان به خطر افتاده، نشان داد که HiddenWasp احتمالا مرحله بعد از نرم افزارهای مخرب است که به اهداف مورد علاقه که قبلا توسط یک مرحله اولیه آلوده شده است. روشن نیست که چگونه تعداد کامپیوترها آلوده شده و یا اینکه مراحل مرتبط با آن قبلا نصب شده است. با استفاده از قابلیت دانلود و اجرای کد، آپلود فایل ها و انجام انواع دستورات دیگر، هدف از این بدافزار به نظر می رسد که از راه دور کامپیوتر های آلوده را کنترل کند. این متفاوت از بیشتر نرم افزارهای مخرب لینوکس است که برای انجام حملات انکار سرویس یا معادلات انتقادی منحصر به فرد وجود دارد.
"Ignacio Sanmillan محقق Intezer در روزنامه روز چهارشنبه نوشت:" بدافزار لینوکس ممکن است چالش های جدیدی را برای جامعه امنیتی ایجاد کند که هنوز در سیستم عامل های دیگر دیده نشده است. " "واقعیت این است که این نرم افزارهای مخرب تحت تاثیر رادار قرار می گیرند باید یک تماس بیدار از صنعت امنیتی برای تخصیص تلاش های بیشتر یا منابع برای شناسایی این تهدیدات باشد."
بعضی از کد ها از Mirai، بدافزار بوت نت اینترنت اشیاء که کد منبع آن در سال 2016 به صورت عمومی در دسترس بوده است، قرض گرفته شده است. کد دیگری شباهت زیادی به سایر پروژه های ایجاد شده یا بدافزارها از جمله Rootkit Azazel، Implant Elzenot ChinaZ و اخیرا لینوکس نوع Winnti را کشف کرده است، یک خانواده از نرم افزارهای مخرب که قبلا دیده بود که تنها ویندوز را هدف قرار داده بودند.
در یک ایمیل، سیلاس کتلر، مهندس معکوس برای کرونیکل، شرکت امنیتی که متعلق به الفبای است، کشف نوع لینوکس وینتی لینوکس، نوشت:
در مورد پرونده واقعا جالب بود که بسیاری از ابزارهای لینوکس نسبتا ابتدایی هستند. حتی در مورد Winnti-Linux، این یک پورت از نوع ویندوز بود. کد قرض گرفتن از پروژه های منبع باز مثل Azazel و (اکنون) Mirai جالب است زیرا ... ممکن است تحلیل گران نرم افزارهای مخرب / گمراه کننده را مسدود کنند.
بیشتر بدافزار لینوکس، همانطور که Intezer اظهار داشت، متمرکز بر حملات DDoS یا معدن است. این نوع مخرب بر روی کنترل مستقیم بازیگر متمرکز است منحصر به فرد است. هدف از این نرم افزارهای مخرب. . . واقعا جالب در مقایسه با بیشتر چیزهای nix است. [توسعه دهندگان] با استفاده از روت کیت باز منبع برای تسهیل دسترسی.
اجزای rootkit، Azazel، واقعا فقط برای مخفی کردن عملیات است. در حالی که لینک های Azazel و Mirai در این گزارش متمرکز شده بود، عناصر چینZ یافت شده است که منجر به این می شود که من فکر می کنم که بازیگران با ترکیب چندین مجموعه ابزار تجربه کرده اند.
رایانه ای که برای اولین بار یک فایل HiddenWasp را به VirusTotal آپلود کرد، مسیری را که حاوی نام یک شرکت پزشکی قانونی چینی شناخته شده به نام Shen Zhou Wang Yun Information Technology Co. Ltd است، استفاده کرد. اپراتورها همچنین سرورهای را از سرور مبتنی بر هنگ کنگ اجاره کردند میزبانی شرکت ThinkDream برای میزبانی نرم افزارهای مخرب خود.
یکی از فایل های آپلود شده به VirusTotal، یک اسکریپت bash که به نظر می رسد برای اهداف تست استفاده شده است، محققان Intezer را به فایل دیگری هدایت کرد. این فایل جدید شامل نام کاربری و رمز عبور حسابهایی بود که به نظر می رسد قبلا اضافه شده است تا دسترسی مهاجم مهاجم را فراهم کند. این شواهد به Intezer اعتقاد داشت که بدافزار بر روی ماشینهایی نصب شده است که مهاجمان در حال حاضر به خطر انداخته اند. برای ترویج پیشرفته بدافزار در دو یا چند مرحله در تلاش است تا عفونت را شناسایی و از آسیب های ناخواسته جلوگیری کند.
از آنجایی که پست روز چهارشنبه زنده شد، میزان تشخیص AV افزایش یافته است، اما در آن زمان Ars این مقاله را منتشر کرد، نرخ هنوز هم پایین بود. بسته به فایل مورد تجزیه و تحلیل، نرخ از 2 تا 13 از 59 موتور AV ردیابی متغیر بود.