القائمة الرئيسية

الصفحات

قراصنة صينيون يستهدفون أنظمة لينوكس باستخدام RedXOR backdoor


قراصنة صينيون يستهدفون أنظمة لينوكس باستخدام RedXOR backdoor

قراصنة صينيون يستهدفون أنظمة لينوكس باستخدام RedXOR backdoor

خوادم Linux التي تعرضت لبرامج ضارة تم تطويرها باستخدام مترجم Red Hat منتهي الصلاحية

يستهدف المتسللون أنظمة Linux القديمة ببرامج ضارة معقدة يُعتقد أن مجرمي الإنترنت قد طورواها بدعم من الدولة الصينية.

يقوم البرنامج الضار ، الذي يحمل العلامة التجارية RedXOR ، بترميز بيانات شبكته باستخدام مخطط يعتمد على عملية المنطق المنطقي XOR المستخدمة في التشفير ، ويتم تجميعه باستخدام مترجم قديم في إصدار أقدم من Red Hat Enterprise Linux (RHEL).

هذا ، وفقًا لباحثي Intezer ، يشير إلى استخدام RedXOR في الهجمات المستهدفة ضد الأنظمة القديمة.

ينشر مشغلوها RedXOR للتسلل إلى نقاط نهاية وأنظمة Linux من أجل تصفح الملفات وسرقة البيانات وتحميل البيانات أو تنزيلها ، بالإضافة إلى حركة مرور شبكة الأنفاق. من الصعب أيضًا تحديد الباب الخلفي ، متخفيًا في صورة خفية polkit ، وهي عملية خلفية لإدارة مكون يتحكم في الامتيازات على مستوى النظام.

قال الباحثان في Intezer Avigayil Mechtinger و Joakim Kennedy: "استنادًا إلى علم الضحايا ، بالإضافة إلى المكونات والتكتيكات والتقنيات والإجراءات المماثلة (TTPs) ، نعتقد أن RedXOR تم تطويره بواسطة جهات تهديد صينية بارزة".

"تتعرض أنظمة Linux لهجوم مستمر نظرًا لأن Linux يعمل على معظم أعباء العمل السحابية العامة. جنبًا إلى جنب مع شبكات الروبوتات ومنشئي التشفير ، يعد مشهد تهديد Linux أيضًا موطنًا للتهديدات المعقدة مثل RedXOR التي طورتها الجهات الفاعلة في الدولة القومية ".

عند التثبيت ، تنقل البرامج الضارة ثنائياتها إلى مجلد مخفي يُدعى "po1kitd.thumb" ، كجزء من جهودها لإخفاء نفسها على أنها خفي polkit. ثم يتصل البرنامج الضار بخادم الأوامر والتحكم تحت ستار حركة مرور HTTP ، حيث يتم إرسال التعليمات منه بعد ذلك.

راقب الباحثون الخادم بإصدار ما مجموعه 19 أمرًا منفصلاً ، بما في ذلك طلب معلومات النظام وإصدار تحديثات للبرامج الضارة. يدعي الباحثون أن وجود "تشغيل وإيقاف" في خادم القيادة والتحكم يشير أيضًا إلى أن العملية لا تزال نشطة.

لبناء الباب الخلفي ، استخدم المتسللون مترجم Red Hat 4.4.7 GNU Compiler Collection (GCC) ، وهو الافتراضي GCC لـ RHEL 6. وقد تم إصداره لأول مرة في عام 2010.

انتهى الدعم الأساسي لـ RHEL 6 مؤخرًا ، في نوفمبر 2020 ، مما يعني أن مجموعة من الخوادم ونقاط النهاية لا تزال تعمل على الأرجح RHEL 6. ومع ذلك ، لم تكشف Intezer عن عدد أو طبيعة الضحايا الذين تم تحديدهم. وفقًا لـ Enlyft ، تستخدم حوالي 50000 شركة تركيبات RHEL.

على الرغم من زيادة اكتشاف عائلات برامج Linux الضارة في الآونة الأخيرة ، إلا أن الأبواب الخلفية المنسوبة إلى مجموعات التهديد المتقدمة ، مثل المهاجمين المدعومين من الدولة ، نادرة جدًا.

ومع ذلك ، يثق الباحثون في الإسناد ، حيث حددوا 11 تشابهًا مميزًا بين RedXOR والباب الخلفي PWNLNX ، بالإضافة إلى أوجه التشابه مع XOR.DOS وشبكات الروبوت الأرضية - وكلها مرتبطة بالمخترقين المدعومين من الدولة الصينية.

تم تحميل العينات المكتشفة أيضًا من إندونيسيا وتايوان ، وهما دولتان معروفان باستهدافهما من قبل قراصنة مدعومين من الدولة يعملون من الصين.

المصدر : itpro
reaction:

تعليقات