Symbiote-haittaohjelma

Kyberturvallisuustutkijat ovat löytäneet uskomattoman salaperäisen Linux-haittaohjelman. Varhaisimmat näytteet uhkauksesta, nimeltään Symbiote, ovat peräisin marraskuusta 2021, ja sen kohteiden uskotaan olevan pankkeja tai rahoituslaitoksia Latinalaisesta Amerikasta. Yksityiskohdat tästä aiemmin tuntemattomasta haittaohjelmasta julkaistiin BlackBerry Threat Research & Intelligence -tiimin ja Intezen tietoturvatutkijan Joakim Kennedyn yhteisessä raportissa.

Heidän havaintojensa mukaan Symbiote eroaa merkittävästi muista Linuxin haittaohjelmauhkista, jotka yrittävät vaarantaa jo käynnissä olevia prosesseja. Symbiote on kuitenkin suunniteltu toimimaan jaettuna objektikirjastona (SO), jonka kaikki käynnissä olevat prosessit lataavat LD_PRELOADin kautta. Kun se on täysin vakiintunut vaarantuneelle koneelle, uhka pystyy tarjoamaan lähes rootkit-tason toimintoja. Piilottaakseen läsnäolonsa Symbiote kytkee tiettyjä toimintoja, kuten libc ja libpcap .

Lisäksi kytkemällä libc -lukutoiminnon uhka voi kerätä tunnistetietoja tartunnan saaneelta laitteelta, kun taas Linux Pluggable Authentication Module (PAM) -moduulin avulla se voi antaa etäkäyttötoimintoja uhkatoimijoille. Mitä tulee uhan tuottamaan epäilyttävään liikenteeseen, se on peitetty BPF:n (Berkeley Packet Filter) koukkuun avulla.

Tutkijat pystyivät myös vahvistamaan, että tietyt Symbioteen liittyvät verkkotunnukset on suunniteltu esittämään laillisia brasilialaisia pankkeja. Lisäksi haittaohjelmistoon linkitetty palvelin luotiin tarkoituksella jäljittelemään Brasilian liittovaltion poliisin sivua.