נמצא סוג חדש של תוכנות זדוניות בלינוקס

סוג חדש של לינוקס תוכנה זדונית זוהה לאחר שלא הורגש במשך שנתיים הודות לעבודה של חוקרי אבטחת סייבר מ-Group-IB.

ה-Linux Remote Access Trojan (RAT) שנחשף לאחרונה, Krasue, נרשם לראשונה ב-Virustotal, ומאז הוא מכוון בעיקר לחברות תקשורת בתאילנד.

Group-IB אומר ש-Krasue "מהווה סיכון חמור למערכות קריטיות ולנתונים רגישים" מכיוון שתוקפים יכולים לגשת לרשת ממוקדת מרחוק.

Krasue Linux RAT

אנליסטי אבטחת הסייבר אומרים שהתוכנה הזדונית מכילה מספר ערכות שורש משובצות, שנלקחו ממקורות ציבוריים, כלומר, ה-RAT יכול לתמוך בגרסאות ליבה שונות של Linux .

עם זאת, Group-IB עדיין לא קבע את וקטור הזיהום הראשוני של Krasue. עד כה, ניצול פגיעות, התקפות כוח אכזריות של אישורים והורדות לא מכוונות כחלק מחבילות מטעות, כולם נשקלים.

במקום זאת, חברת אבטחת הסייבר אומרת שהיא חושפת את המידע המצומצם שיש לה בשלב זה על מנת לתת דגש לחברות תקשורת תאילנדיות, כך שיוכלו להיות מוכנות טוב יותר לאבטח את עצמן מפני התקפות כאלה. Group-IB הודיעה גם לצוות תגובת חירום מחשבים של תאילנד (ThaiCERT) ולצוות תגובת מחשבים לשעת חירום של תאילנד (TTC-CERT).

לאחר ניתוח, נראה כי ייתכן ש-Krasue RAT נוצר על ידי אותו מחבר כמו XorDdos – תוכנה זדונית נוספת של לינוקס טרויאנית עם יכולות rootkit להפעלת התקפות DDoS בקנה מידה גדול.

אבל ייחוס קבוצת איומים ספציפי קשה מכיוון שה-RAT משתמש בקטעי קוד משלושה פרויקטים שונים בקוד פתוח – Diamorphine, Suterusu ו-Rooty – שהיו זמינים כבר יותר מחמש שנים.

לעת עתה, Group-IB מבטיחה להמשיך ולנטר את התפשטות התוכנה הזדונית, כולל לאזורים אחרים מחוץ לתאילנד.