Οι απειλές που αφορούν τα συστήματα Linux, συνήθως δεν αναφέρονται με λεπτομέρειες, όπως γίνεται με το οικοσύστημα ασφαλείας των Windows. Κι αυτό οφείλεται κυρίως στο γεγονός ότι πολλές φορές οι επιθέσεις δεν εντοπίζονται καν από τους μηχανισμούς ασφαλείας των επιχειρήσεων, αλλά και γιατί δεν είναι τόσο σημαντικές για να αναφερθούν ευρέως από τους ερευνητές της ασφάλειας.
Φυσικά αυτό δε σημαίνει ότι δεν υπάρχουν πιο σοβαρές απειλές για ένα σύστημα Linux, όπως για παράδειγμα εξειδικευμένα κακόβουλα λογισμικά που χρησιμοποιούν σύνθετες τεχνικές αποφυγής ανίχνευσης, τα οποία μπορούν να χρησιμοποιήσουν τον ήδη διαθέσιμο ανοιχτό κώδικα. Σύμφωνα με την εταιρεία ασφάλειας στον κυβερνοχώρο Intezer, πρόσφατα εμφανίστηκε ένα τέτοιο κακόβουλο λογισμικό. Ονομάζεται HiddenWasp και αυτό που το κάνει αρκετά επικίνδυνο αυτή τη στιγμή είναι το γεγονός ότι δεν ανιχνεύεται από κανένα από τα δημοφιλή συστήματα προστασίας από κακόβουλα προγράμματα.
Πώς το HiddenWasp επιτίθεται στα συστήματα Linux;
Το πρώτο βήμα του κακόβουλου λογισμικού χρησιμοποιεί το initial script για την ανάπτυξη του κακόβουλου λογισμικού. Το κρυφό script χρησιμοποιεί ένα όνομα χρήστη sftp με έναν ισχυρό κωδικό πρόσβασης και καθαρίζει το σύστημα για την εξάλειψη παλαιότερων εκδόσεων κακόβουλου λογισμικού σε περίπτωση που το μηχάνημα είχε ήδη μολυνθεί.
Στη συνέχεια προχωρά στη λήψη ενός αρχείου από τον server που περιέχει όλα τα στοιχεία, συμπεριλαμβανομένου του rootkit και του trojan. Το script προσπαθεί επίσης να προσθέσει το trojan στο /etc/rc.local για να λειτουργεί ακόμα και μετά από μια επανεκκίνηση του συστήματος.
Το rootkit που συμμετέχει στο κακόβουλο λογισμικό μοιράζεται πολλές ομοιότητες με το rootkit ανοικτού κώδικα Azazel. Επίσης, μοιράζεται τμήματα συμβολοσειρών με το ChinaZ malware, το Adore-ng rootkit και το κακόβουλο λογισμικό Mirai. Όσον αφορά στις δυνατότητες αυτού του malware, μπορεί να τρέξει εντολές στο τερματικό, να εκτελέσει αρχεία, να κατεβάσει περισσότερα scripts κ.λπ.
Οι ερευνητές ασφαλείας ωστόσο εξακολουθούν να μην γνωρίζουν ποιος είναι ο πραγματικός δημιουργός του malware. Υποψιάζονται όμως ότι το HiddenWasp λειτουργεί ως δευτερεύον payload, αφού εξαπλώνεται σε συστήματα Linux που έχουν ήδη μολυνθεί και ελέγχονται από hackers.
Για περισσότερες λεπτομέρειες σχετικά με το νέο HiddenWasp malware, μπορείτε να επισκευτείτε το blog της Intezer.
