ESET araştırmacıları daha önce bilinmeyen iki Linux arka kapısına ait çok sayıda örnek belirledi: WolfsBane ve FireWood.
Keşfedilen arka kapıların ve araçların amacı, sistem bilgileri, kullanıcı kimlik bilgileri ve belirli dosya ve dizinler gibi hassas verileri hedef alan siber casusluktur. Bu araçlar, kalıcı erişimi sürdürmek ve komutları gizlice yürütmek için tasarlanmış olup, tespitten kaçarken uzun süreli istihbarat toplanmasına olanak tanır.
WolfsBane yürütme zinciri (Kaynak: ESET)
Kurt Felaketi
Araştırmacılar, VirusTotal’da Tayvan, Filipinler ve Singapur’dan yüklenen WolfsBane örneklerini keşfettiler; bunlar muhtemelen ele geçirilen bir sunucudaki olay müdahalesinden kaynaklanıyordu. Bunu büyük bir güvenle Çin’e bağlı bir APT grubu olan Gelsemium’a bağlıyorlar.
Gelsemium daha önce Doğu Asya ve Orta Doğu’daki kuruluşları hedef alıyordu. Çin bağlantılı bu tehdit aktörünün 2014 yılına kadar uzanan bilinen bir geçmişi var. Şu ana kadar Gelsemium’un Linux kötü amaçlı yazılım kullandığına dair kamuya açık bir rapor bulunmuyor.
WolfsBane, damlalık, başlatıcı ve arka kapıdan oluşan basit bir yükleme zincirinin parçasıdır. Analiz edilen WolfsBane saldırı zincirinin bir kısmı, aynı zamanda, bir işletim sisteminin kullanıcı alanında bulunan ve aktivitelerini gizleyen bir tür yazılım olan, değiştirilmiş açık kaynaklı bir kullanıcı alanı rootkit’idir.
Yakacak Odun
Ayrıca ESET Araştırma başka bir Linux arka kapısı olan FireWood’u keşfetti. Ancak ESET, FireWood’u diğer Gelsemium araçlarına kesin olarak bağlayamaz ve analiz edilen arşivlerdeki varlığı tesadüfi olabilir. Bu nedenle ESET, FireWood’u Gelsemium’a düşük güvenle atfediyor; bunun Çin’e uyumlu birden fazla APT grubu arasında paylaşılan bir araç olabileceğini düşünüyor.
FireWood, araştırmacılar tarafından Project Wood adı altında takip edilen bir arka kapıya bağlı. Araştırmacılar bunun izini 2005 yılına kadar sürdüler ve daha karmaşık versiyonlara doğru evrildiğini gözlemlediler. Arka kapı daha önce TooHash Operasyonunda kullanılmıştı.
ESET’in analiz ettiği arşivler ayrıca, güvenliği ihlal edilmiş bir sunucuya yüklendikten sonra bir saldırganın uzaktan kontrol etmesine olanak tanıyan, çoğunlukla web kabukları olmak üzere çeşitli ek araçlar ve basit yardımcı araçlar içerir.
“VirusTotal’a yüklenen arşivlerde bulduğumuz en dikkate değer örnekler, Gelsemium tarafından kullanılan bilinen Windows kötü amaçlı yazılımlarına benzeyen iki arka kapıdır. WolfsBane, Gelsevirine’in Linux’taki karşılığıdır, FireWood ise Project Wood’a bağlıdır. Gelsemium’un en son araç setini analiz eden ESET araştırmacısı Viktor Šperka, “Ayrıca Gelsemium’un faaliyetleriyle ilgili potansiyel olarak başka araçlar da keşfettik” diyor.
“APT gruplarının Linux kötü amaçlı yazılımlarına odaklanma eğilimi giderek daha belirgin hale geliyor. Bu değişimin, uç nokta algılama ve yanıt araçlarının yaygın kullanımı ve Microsoft’un Visual Basic for Applications makrolarını varsayılan olarak devre dışı bırakma kararı gibi Windows e-posta ve uç nokta güvenliğindeki gelişmelerden kaynaklandığına inanıyoruz. Sonuç olarak, tehdit aktörleri, çoğu Linux üzerinde çalışan, internete yönelik sistemlerdeki güvenlik açıklarından yararlanmaya giderek daha fazla odaklanarak yeni saldırı yolları araştırıyor” diye açıklıyor Šperka.