حملة التجسس الإلكتروني باستخدام برنامج ضار جديد لنظام لينكس

كشفت ESET عن برامج ضارة لينكس مرتبطة بمجموعة Gelsemium الصينية، مع بابان خلفيان WolfsBane و FireWood يستهدفان البيانات الحساسة للتجسس الإلكتروني.

ESET اكتشف باحثو الأمن السيبراني في شركة ESET نوعًا جديدًا من البرمجيات الخبيثة مُصمم خصيصًا لأنظمة لينكس، تم تسميته “WolfsBane”، وهم يعتقدون أنه مرتبط بمجموعة القراصنة الصينية المعروفة باسم Gelsemium.

هذه المجموعة، المعروفة بوقائع الهجمات المتطورة التي تقوم بها، لازالت نشطة منذ عام 2014، تستهدف أساساً أنظمة ويندوز. يعتبر هذا البرنامج الخبيث الجديد أول مرة يرتبط فيها جلسيميوم بلينكس، منصة تتعرض بشكل متزايد لهجمات القراصنة، كما يقول ESET.

تقرير ESET يذكر أن الباب الخلفي WolfsBane مماثل لبرنامج خبيث سابق، جلسيفيرين، استخدمه جلسيميوم للوصول غير المصرح به إلى الأنظمة.

تتشارك الأدوات كلاهما في ميزات رئيسية، بما في ذلك الطريقة التي يتواصلون بها مع الخوادم التي يسيطر عليها القراصنة، وتنفيذ الأوامر، وإخفاء وجودهم داخل الأنظمة المصابة.

تستخدم WolfsBane مكتبة متخصصة وطرق التشفير لتجنب الكشف، مما يتيح للقراصنة مراقبة نظام الضحية وسرقة المعلومات الحساسة على مدى فترة طويلة دون أن يلاحظ أحد، كما تقول ESET.

بجانب “WolfsBane”، اكتشف الباحثون أيضًا برنامجًا خبيثًا آخر يدعى “FireWood”، والذي قد يكون مرتبطًا أيضًا بـ “Gelsemium”، على الرغم من أن الرابط أقل يقينًا.

يتشارك “FireWood” في العديد من التشابهات مع البرامج الخبيثة المستخدمة في هجمات سيبرانية سابقة من قبل المجموعة، بما في ذلك هيكلها وأساليب التشفير التي تستخدمها. ومع ذلك، بسبب الإمكانية المشتركة لاستخدام الأدوات بين مجموعات القراصنة المختلفة، الرابط مع “Gelsemium” غير مؤكد، كما تقول ESET.

توضح ESET أن هذه الأدوات الخبيثة مصممة للتجسس الإلكتروني، مما يتيح للمهاجمين سرقة بيانات النظام وبيانات الاعتماد والملفات.

يأتي التحول نحو البرمجيات الخبيثة لنظام Linux بعد أن بحث القراصنة عن نقاط هجوم جديدة بعد تعزيز إجراءات الأمان على أنظمة Windows، مثل أدوات الكشف عن نقاط النهاية والتغييرات في أمان البريد الإلكتروني لمايكروسوفت. تشير ESET إلى أن العديد من الأنظمة التي تواجه الإنترنت تعمل على Linux، مما يجعلها هدفاً جذاباً للمجرمين الإلكترونيين.

تم العثور على البرامج الضارة في الأرشيفات التي تم تحميلها على VirusTotal، وهو خدمة يستخدمها خبراء الأمن لتحليل الملفات المشبوهة، ويبدو أنه تم نشرها على الخوادم في تايوان، والفلبين، وسنغافورة. تشير التحقيقات إلى أن القراصنة ربما اكتسبوا الوصول إلى هذه الخوادم من خلال الثغرات في تطبيقات الويب.

بينما يواصل باحثو ESET تحليل البرامج الضارة، أكدوا أن المهاجمين يستخدمون تقنيات متقدمة للحفاظ على الوصول لفترات طويلة إلى الأنظمة المخترقة، مما يجعلها صعبة الكشف والإزالة.

كشف WolfsBane و FireWood يبرز التهديد المتزايد للهجمات الإلكترونية المستهدفة لنظام Linux، مما يشدد على الحاجة إلى تدابير أمنية أقوى على جميع المنصات. كتبتها كاتبة نسائية ومصممة لتكون سهلة القراءة للقراء الناطقين بالعربية. يجب أن يترك المحتوى الذي بين هذه الرموز دون ترجمة ويجب أن يبقى كما هو باللغة الإنجليزية – [ ]، %%، <>. لا تزيل أو تغير أي شيء في علامات HTML. ها هي النص الذي أريدك أن تترجمه: اكتشاف WolfsBane و FireWood يسلط الضوء على التهديد المتزايد من الهجمات الإلكترونية المستهدفة لـ Linux، مما يبرز الحاجة إلى تدابير أمنية أقوى عبر جميع المنصات.