کمیته رکن چهارم – بررسی حمله سایبری به یکی از زیرساختهای میزبانیشده در آمازون وب سرویس (AWS) منجر به شناسایی یک روتکیت جدید برای سیستمعامل لینوکس با نام LinkPro شده است. این بدافزار پیچیده با استفاده از فناوری eBPF، فعالیتهای خود را پنهان کرده و تنها با دریافت یک بسته TCP خاص فعال میشود.
به گزارش کمیته رکن چهارم، شرکت امنیتی Synacktiv اعلام کرد این روتکیت از دو ماژول eBPF استفاده میکند: یکی برای پنهانسازی ردپاها و دیگری برای فعالسازی ارتباطات پس از دریافت «بسته جادویی» TCP. نقطه آغاز این حمله، بهرهبرداری از آسیبپذیری بحرانی CVE-2024-23897 در سرور Jenkins بوده است.
مهاجمان با انتشار ایمیجی آلوده در Docker Hub، بدافزار را در چندین کلاستر Kubernetes منتشر کردهاند. این ایمیج شامل ابزارهایی برای راهاندازی VPN و پراکسی، دانلود فایل مخرب از طریق WebSocket، و راهاندازی یک backdoor پیشرفته به نام vShell بوده است.
این سیستمعامل با زبان Golang نوشته شده و میتواند در حالت غیرفعال (فقط در صورت دریافت بسته خاص فعال میشود) یا فعال (ارتباط مستقیم با سرور فرمان و کنترل) عمل کند. این بدافزار همچنین با دستکاری فایل /etc/ld.so.preload، کتابخانهای مخرب را بارگذاری میکند که عملکرد برخی توابع کلیدی سیستم را برای پنهانکاری تغییر میدهد.
بسته جادویی برای فعالسازی LinkPro، یک بسته TCP با window size معادل ۵۴۳۲۱ است. پس از دریافت این بسته، ماژول Knock فعال شده و به هکرها اجازه میدهد تا به مدت یک ساعت از هر پورتی که توسط فایروال مجاز است، با سیستم ارتباط برقرار کنند. تغییر آدرسهای بستهها باعث میشود تا ردگیری فعالیتهای بدافزار دشوارتر شود.
سیستمعامل LinkPro قابلیتهایی مانند اجرای دستورات شل، انتقال فایل، و راهاندازی تونل پروکسی SOCKS5 را دارد و با تکنیکهای پیشرفته پنهانسازی در سطح کرنل، شناسایی آن برای ابزارهای امنیتی دشوار است.
هرچند عامل این حمله هنوز مشخص نیست، اما تحلیلگران احتمال میدهند انگیزه مهاجمان مالی باشد. این حمله بار دیگر پیچیدگی و پیشرفت تکنیکهای مخفیسازی در بدافزارهای لینوکسی را بهنمایش گذاشته است.
