„Symbiote“ kenkėjiška programa

Kibernetinio saugumo tyrinėtojai atskleidė neįtikėtinai slaptą „Linux“ kenkėjišką programą. Ankstyviausi grėsmės pavyzdžiai, pavadinti „Symbiote“, datuojami 2021 m. lapkričio mėn., manoma, kad tai buvo Lotynų Amerikos bankai arba finansinės institucijos. Išsami informacija apie šią anksčiau nežinomą kenkėjišką programą buvo paskelbta bendroje „BlackBerry Threat Research & Intelligence“ komandos ir „Inteze“ saugumo tyrinėtojo Joakimo Kennedy ataskaitoje.

Remiantis jų išvadomis, „Symbiote“ labai skiriasi nuo kitų „Linux“ kenkėjiškų programų grėsmių, kurios bando pažeisti jau veikiančius procesus. Tačiau „Symbiote“ sukurta veikti kaip bendrinamų objektų (SO) biblioteka, kurią visi veikiantys procesai įkelia per LD_PRELOAD. Kai ji bus visiškai įdiegta pažeistame kompiuteryje, grėsmė gali suteikti beveik rootkit lygio funkcijas. Siekdama paslėpti savo buvimą, Symbiote pritraukia tam tikras funkcijas, tokias kaip libc ir libpcap .

Be to, pajungus libc skaitymo funkciją, grėsmė gali paimti kredencialus iš užkrėsto įrenginio, o naudojant Linux prijungiamą autentifikavimo modulį (PAM) galima suteikti nuotolinės prieigos funkcijas grėsmės veikėjams. Kalbant apie įtartiną srautą, kurį sukelia grėsmė, jis užmaskuojamas naudojant BPF (Berkeley Packet Filter) pajungimą.

Tyrėjai taip pat galėjo patvirtinti, kad tam tikri domenų vardai, susiję su „Symbiote“, buvo sukurti taip, kad apsimestų teisėtais Brazilijos bankais. Be to, buvo tikslingai sukurtas serveris, susietas su kenkėjiška programa, imituojantis Brazilijos federalinės policijos puslapį.