Symbiote ļaunprātīga programmatūra

Kiberdrošības pētnieki ir atklājuši neticami slepenu Linux ļaunprātīgu programmatūru. Pirmie draudu paraugi ar nosaukumu Symbiote ir datēti ar 2021. gada novembri, un tiek uzskatīts, ka tā paredzētie mērķi ir bankas vai finanšu iestādes no Latīņamerikas. Sīkāka informācija par šo iepriekš nezināmo ļaunprātīgo programmatūru tika publicēta BlackBerry Threat Research & Intelligence komandas un Inteze drošības pētnieka Joakim Kennedy kopīgajā ziņojumā.

Saskaņā ar viņu atklājumiem Symbiote ievērojami atšķiras no citiem Linux ļaunprātīgas programmatūras draudiem, kas mēģina apdraudēt jau darbojošos procesus. Tomēr Symbiote ir izstrādāta, lai darbotos kā koplietojamo objektu (SO) bibliotēka, kas tiek ielādēta, izmantojot LD_PRELOAD, visus darbojošos procesus. Kad apdraudējums ir pilnībā izveidots apdraudētajā datorā, tas spēj nodrošināt gandrīz rootkit līmeņa funkcionalitāti. Lai paslēptu savu klātbūtni, Symbiote piesaista noteiktas funkcijas, piemēram, libc un libpcap .

Turklāt, piesaistot libc lasīšanas funkciju, draudi var iegūt akreditācijas datus no inficētās ierīces, savukārt Linux pievienojamās autentifikācijas moduļa (PAM) izmantošana ļauj nodrošināt attālās piekļuves funkcijas apdraudējuma dalībniekiem. Kas attiecas uz draudu radīto aizdomīgo trafiku, tā tiek maskēta, izmantojot BPF (Berkeley Packet Filter) piesaisti.

Pētnieki arī varēja apstiprināt, ka daži domēna nosaukumi, kas saistīti ar Symbiote, tika izstrādāti, lai uzdotos par likumīgām Brazīlijas bankām. Turklāt ar ļaunprogrammatūru saistīts serveris tika mērķtiecīgi izveidots, lai atdarinātu Brazīlijas federālās policijas lapu.