Symbiote pahavara

Küberjulgeoleku uurijad on avastanud uskumatult vargse Linuxi pahavara. Varasemad näidised Symbiote-nimelisest ohust pärinevad 2021. aasta novembrist ja selle sihtmärkideks arvatakse olevat Ladina-Ameerika pangandus- või finantsasutused. Üksikasjad selle varem tundmatu pahavara kohta avaldati BlackBerry Threat Research & Intelligence meeskonna ja Inteze turvauurija Joakim Kennedy ühisaruandes.

Nende leidude kohaselt erineb Symbiote oluliselt teistest Linuxi pahavaraohtudest, mis üritavad ohustada juba töötavaid protsesse. Kuid Symbiote on loodud toimima jagatud objekti (SO) teegina, mida kõik töötavad protsessid laadivad LD_PRELOADi kaudu. Kui oht on ohustatud masinas täielikult tuvastatud, on see võimeline pakkuma peaaegu juurkomplekti tasemel funktsioone. Oma kohaloleku varjamiseks ühendab Symbiote teatud funktsioonid, nagu libc ja libpcap .

Veelgi enam, libc lugemisfunktsiooni ühendades võib oht koguda nakatunud seadmelt mandaate, samas kui Linuxi ühendatava autentimismooduli (PAM) kasutamine võimaldab anda ohus osalejatele kaugjuurdepääsu funktsioone. Mis puudutab ohu tekitatud kahtlast liiklust, siis seda varjatakse BPF-i (Berkeley pakettfiltri) haakimise abil.

Teadlased suutsid ka kinnitada, et teatud Symbiote'iga seotud domeeninimed olid mõeldud seaduslike Brasiilia pankade kehastamiseks. Lisaks loodi sihipäraselt Brasiilia föderaalpolitsei lehe jäljendamiseks pahavaraga lingitud server.