Οι απειλές για υπολογιστές Linux τώρα εμφανίζονται σε τακτική βάση και αυτό που κάποτε θεωρούταν “no-virus zone” έχει αρχίσει να στοχεύεται από συγγραφείς κακόβουλων λογισμικών.
Η πιο πρόσφατη αυτών των απειλών είναι ένα Trojan με Backdoor δυνατότητες που ονομάζεται Linux.BackDoor.Xupes και ανακαλύφθηκε από τους ερευνητές ασφάλειας του Dr.Web τη διάρκεια του Σαββατοκύριακου.
Σύμφωνα με τη ρωσική εταιρεία κατασκευής antivirus, αυτό το trojan αποτελείται από δύο τμήματα. Έτσι, υπάρχει ένα dropper στοιχείο που είναι γραμμένο σε Free Pascal με στόχο να μολύνει υπολογιστές και στη συνέχεια, να κάνει λήψη του δεύτερου τμήματος, που είναι το πραγματικό malware payload, το κύριο σώμα του Backdoor trojan, κωδικοποιημένο σε C.
Για την περίπτωση Linux.BackDoor.Xunpes, ο dropper είναι κρυμμένος μέσα σε ένα app για την πραγματοποίηση πληρωμών Bitcoin (σε αυτή την περίπτωση, Bitcoin ATM από την Pay Maq), γεγονός που εξηγεί πώς το κακόβουλο λογισμικό μολύνει υπολογιστές Linυx. Ενώ ο ίδιος ο dropper είναι αρκετά γενικός και χρησιμοποιείται και από άλλες οικογένειες malware, η κερκόπορτα, παρά το γεγονός ότι είναι αρκετά μικρή, περιλαμβάνει υποστήριξη για αρκετές εντολές.
Μόλις μολυνθεί ένας υπολογιστής, ο συγγραφέας του κακόβουλου λογισμικού μπορεί να στείλει πάνω από 40 διαφορετικούς τύπους εντολών σε κάθε μολυσμένο ξενιστή. Όλες οι εντολές στέλνονται μέσω ενός C&C (command and control) server, ο οποίος επιτρέπει στον ιδιοκτήτη της κερκόπορτας να παραμένει ημι-ανώνυμος.
Μετά την ανάλυση του πηγαίου κώδικα του Trojan, οι ερευνητές ασφάλειας του Dr.Web, δήλωσαν ότι το Linux.BackDoor.Xunpes μπορεί να εκτελέσει κάποιες από τις ακόλουθες εντολές:
→ Λήψη άλλων αρχείων
→ Εκκίνηση αρχείων προς εκτέλεση
→ Αντιγραφή αρχείων
→ Μετονομασία αρχείων
→ Διαγραφή αρχείων
→ Δημιουργία φακέλων
→ Διαγραφή φακέλων
→ Εκτέλεση εντολών bash
→ Προσομοίωση πληκτρολογήσεων
→ Log πληκτρολογήσεις
→ Ανέβασμα αρχείων keylogger σε ένα διακομιστή
→ Λήψη στιγμιότυπου της επιφάνειας εργασίας
→ Ανέβασμα εικόνων σε ένα διακομιστή
→ Συνεχή αναζήτηση για την κατάσταση των ανοιχτών sockets
→ End επικοινωνίες
→ Απενεργοποίηση από μόνο του
Την περασμένη εβδομάδα, ανακαλύφθηκε και πάλι,ένα παρόμοιο trojan με δυνατότητες screenshoting. Αυτό το trojan ονομάστηκε Linux.Ekocms και προκάλεσε μεγάλη αναταραχή, που είναι ένα από τα πρώτα κομμάτια του κακόβουλου λογισμικού Linux με πλήρης δυνατότητες Screengrab που έχουν ανιχνευθεί ποτέ.
Αν αυτό δεν θεωρείται αρκετά τρομακτικό, υπάρχει και το ransomware Linux.Encoder που ήδη τρομοκρατεί τους server admins τους τελευταίους μήνες. Ευτυχώς, οι ερευνητές του Bitdefender έχουν καταφέρει να σπάσουν το ransomware ξανά και ξανά.
Και ας μην ξεχνάμε το κακόβουλο λογισμικό DDoS XOR και το Trojan Linux.Rekoobe, που στοχεύουν επίσης μόνο σε Linux μηχανές.
Ενώ οι χρήστες του Linυx θεωρούσαν ότι το σύστημα λειτουργίας τους ήταν ειδικό ή με κάποιο τρόπο αδιαπέραστο από κακόβουλα λογισμικά, σιγά σιγά ξυπνούν και αντιμετωπίζουν τη σκληρή αλήθεια. Δεν ήταν ποτέ “μαγικά” απόρθητα σε ότι αφορούσαν την ασφάλεια, και καθώς το λειτουργικό τους σύστημα γίνεται όλο και πιο δημοφιλές, οι malware συγγραφείς θα εστιάσουν περισσότερο τις προσπάθειές τους στο πολύτιμο αυτό OS.
