Symbiote Malware
நம்பமுடியாத அளவிற்கு திருட்டுத்தனமான லினக்ஸ் மால்வேர் சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்களால் கண்டுபிடிக்கப்பட்டுள்ளது. சிம்பியோட் என பெயரிடப்பட்ட அச்சுறுத்தலின் ஆரம்ப மாதிரிகள் நவம்பர் 2021 க்கு முந்தையவை, இலத்தீன் அமெரிக்காவின் வங்கி அல்லது நிதி நிறுவனங்களாக நம்பப்படும் இலக்குகள். இதுவரை அறியப்படாத இந்த மால்வேரைப் பற்றிய விவரங்கள் பிளாக்பெர்ரி த்ரெட் ரிசர்ச் & இன்டலிஜென்ஸ் குழு மற்றும் இன்டெஸ் பாதுகாப்பு ஆய்வாளர் ஜோகிம் கென்னடி ஆகியோரின் கூட்டு அறிக்கையில் வெளியிடப்பட்டது.
அவர்களின் கண்டுபிடிப்புகளின்படி, ஏற்கனவே இயங்கும் செயல்முறைகளை சமரசம் செய்ய முயற்சிக்கும் பிற லினக்ஸ் தீம்பொருள் அச்சுறுத்தல்களிலிருந்து சிம்பியோட் கணிசமாக வேறுபடுகிறது. இருப்பினும், அனைத்து இயங்கும் செயல்முறைகளும் LD_PRELOAD வழியாக ஏற்றப்படும் பகிரப்பட்ட பொருள் (SO) நூலகமாக செயல்பட சிம்பியோட் வடிவமைக்கப்பட்டுள்ளது. சமரசம் செய்யப்பட்ட கணினியில் முழுமையாக நிறுவப்பட்டவுடன், அச்சுறுத்தல் கிட்டத்தட்ட ரூட்கிட்-நிலை செயல்பாட்டை வழங்கும். அதன் இருப்பை மறைக்க, சிம்பியோட் libc மற்றும் libpcap போன்ற குறிப்பிட்ட செயல்பாடுகளை இணைக்கிறது.
மேலும், libc ரீட் செயல்பாட்டை இணைப்பதன் மூலம், அச்சுறுத்தல் பாதிக்கப்பட்ட சாதனத்திலிருந்து நற்சான்றிதழ்களை அறுவடை செய்யலாம், அதே நேரத்தில் Linux Pluggable Authentication Module (PAM) பயன்படுத்தி அச்சுறுத்தல் நடிகர்களுக்கு தொலைநிலை அணுகல் செயல்பாடுகளை வழங்க அனுமதிக்கிறது. அச்சுறுத்தலால் உருவாக்கப்பட்ட சந்தேகத்திற்கிடமான போக்குவரத்தைப் பொறுத்தவரை, அது BPF (Berkeley Packet Filter) ஹூக்கிங்கைப் பயன்படுத்துவதன் மூலம் மறைக்கப்படுகிறது.
சிம்பியோட்டுடன் தொடர்புடைய சில டொமைன் பெயர்கள் சட்டப்பூர்வமான பிரேசிலிய வங்கிகளைப் போல ஆள்மாறாட்டம் செய்ய வடிவமைக்கப்பட்டுள்ளது என்பதையும் ஆராய்ச்சியாளர்களால் உறுதிப்படுத்த முடிந்தது. கூடுதலாக, மால்வேருடன் இணைக்கப்பட்ட ஒரு சர்வர் பிரேசிலின் ஃபெடரல் காவல்துறையின் பக்கத்தைப் பின்பற்றுவதற்காக வேண்டுமென்றே உருவாக்கப்பட்டது.
