تم اكتشاف WolfsBane، وهي باب خلفي جديد (Backdoor) لنظام Linux يُعتقد أنه نسخة مخصصة من برمجية خبيثة لنظام Windows كانت تُستخدم من قِبَل مجموعة القرصنة الصينية Gelsemium.
وفقًا للباحثين الأمنيين في ESET الذين قاموا بتحليل WolfsBane، فإنها تُعتبر أداة برمجيات خبيثة متكاملة تحتوي على:
- Dropper: لتنزيل المكونات الخبيثة.
- Launcher: لإطلاق العمليات.
- Backdoor: لتوفير تحكم خارجي.
كما أنها تستخدم نسخة معدلة من rootkit مفتوح المصدر لتجنب اكتشافها.
اكتشاف برمجية FireWood
اكتشف الباحثون أيضًا برمجية خبيثة أخرى تُدعى FireWood، وهي برمجية خبيثة لنظام Linux تبدو مرتبطة ببرمجية Project Wood الخاصة بنظام Windows.
الفرق بين البرمجيتين
يُرجح أن FireWood ليست أداة حصرية لمجموعة Gelsemium، بل هي أداة مشتركة تُستخدم من قِبل عدة مجموعات APT صينية.
أكدت ESET أن البرمجيتين ظهرتا في قاعدة بيانات VirusTotal خلال العام الماضي، مما يعكس اتجاهًا متزايدًا لدى مجموعات APT لاستهداف نظام Linux مع تعزيز الأمان في أنظمة Windows.
WolfsBane: طريقة عملها
WolfsBane يتم إدخالها إلى الأجهزة المستهدفة عبر Dropper يُدعى cron، والذي ينشر مكون التشغيل Launcher متنكرًا كأحد مكونات سطح المكتب KDE.
بناءً على صلاحيات التشغيل، تقوم البرمجية بما يلي:
- تعطيل SELinux (إذا كانت الصلاحيات كافية).
- إنشاء ملفات خدمات النظام أو تعديل ملفات تكوين المستخدم لتحقيق الاستمرارية.
- تحميل مكون الخصوصية الخبيث udevd، والذي يقوم بتحميل ثلاث مكتبات مشفرة تحتوي على وظائفها الأساسية وإعدادات الاتصال بـ C2.
التمويه والتخفي
تستخدم البرمجية إصدارًا معدلاً من BEURK userland rootkit الذي يتم تحميله عبر /etc/ld.so.preload لتوفير System-Wide Hooking، مما يساعد على إخفاء العمليات والملفات وحركة المرور الشبكية المرتبطة بنشاط WolfsBane.
تشرح ESET قائلة:
"يقوم rootkit الخاص بـ WolfsBane بربط العديد من وظائف مكتبة C القياسية مثل open، وstat، وreaddir، وaccess. يتم استدعاء الوظائف الأصلية ولكن مع تصفية أي نتائج تتعلق بالبرمجية الخبيثة."
وظيفة WolfsBane الأساسية هي تنفيذ الأوامر الواردة من خادم C2 باستخدام آلية خرائط أوامر محددة مسبقًا، وهي نفس الآلية المستخدمة في النسخة الخاصة بنظام Windows.
تشمل الأوامر:
- تنفيذ عمليات على الملفات.
- استخراج البيانات (Data Exfiltration).
- التلاعب بالنظام، مما يمنح مجموعة Gelsemium سيطرة كاملة على الأنظمة المصابة.
نظرة عامة على FireWood
على الرغم من أن ارتباطها بـ Gelsemium ضعيف، إلا أن FireWood تُعد بابًا خلفيًا آخر لنظام Linux يمكّن من تنفيذ حملات تجسس طويلة الأمد.
تشمل قدراتها:
- تنفيذ أوامر على الملفات.
- تشغيل أوامر Shell.
- تحميل أو إلغاء تحميل المكتبات.
- استخراج البيانات.
اكتشفت ESET ملفًا باسم usbdev.ko يُشتبه في أنه يعمل كـ Kernel-Level Rootkit، مما يتيح لـ FireWood إخفاء العمليات.
تقوم البرمجية بتثبيت نفسها على الجهاز من خلال إنشاء ملف بدء تشغيل تلقائي gnome-control.desktop داخل المسار .config/autostart/. يمكنها أيضًا إدراج أوامر داخل هذا الملف لتشغيلها تلقائيًا عند بدء النظام.
مؤشرات الاختراق
نشرت ESET قائمة شاملة بمؤشرات الاختراق (Indicators of Compromise) المتعلقة بعائلتي البرمجيات الخبيثة الجديدتين وحملات Gelsemium الأخيرة، وهي متاحة عبر مستودع GitHub.