محققان ESET اخیراً یک درب پشتی جدید برای لینوکس به نام WolfsBane کشف کردهاند که توسط گروه APT گلسِمِیوم که به چین مرتبط است، استفاده میشود. این اولین نمونه شناخته شده از استفاده گلسِمِیوم از بد افزار لینوکس است. این درب پشتی به منظور سرقت دادههای حساس، از جمله اطلاعات سیستم، اعتبارنامههای کاربران و فایلها و دایرکتوریهای خاص طراحی شده است.
WolfsBane نسخه لینوکسی Gelsevirine است، یک درب پشتی برای ویندوز که گلسِمِیوم از سال ۲۰۱۴ از آن استفاده میکند. این درب پشتی همراه با یک دراپر که خود را به عنوان یک ابزار برنامهریزی واقعی معرفی میکند، توزیع میشود. پس از اجرای آن، دراپر، لانچر و درب پشتی WolfsBane را روی سیستم هدف نصب میکند. لانچر به صورت یک جزء دسکتاپ KDE مخفی شده است، در حالی که درب پشتی به عنوان یک سرویس سیستم پنهان میشود.
درب پشتی WolfsBane از طریق یک پروتکل شبکه سفارشی با یک سرور فرمان و کنترل (C&C) ارتباط برقرار میکند. این درب پشتی میتواند دستورات اجرا کند، فایلها را دانلود کرده و به سرور C&C آپلود کند. همچنین این درب پشتی میتواند با تغییر فایلهای پیکربندی سیستم، وجود خود را روی سیستم پنهان کند.
علاوه بر WolfsBane، محققان ESET یک درب پشتی دیگر برای لینوکس به نام FireWood شناسایی کردهاند که به بد افزار Project Wood مرتبط است. در گذشته، گلسِمِیوم از درب پشتی ویندوزی Project Wood استفاده میکرد. FireWood نسخه لینوکسی Project Wood است و همچنین برای سرقت اطلاعات حساس طراحی شده است.
محققان معتقدند که تغییر به سمت بد افزار لینوکس به دلیل پیشرفتهای امنیتی در نقاط پایانی ویندوز است. به همین دلیل، مهاجمان به دنبال راههای جدید حمله هستند و تمرکز بیشتری روی بهره برداری از آسیب پذیریها در سیستمهای متصل به اینترنت دارند که بیشتر آنها بر روی لینوکس اجرا میشوند.
کشف WolfsBane و FireWood به عنوان یادآوری است که سیستمهای لینوکسی نیز در برابر حملات آسیب پذیر هستند. سازمانها باید خطراتی که بد افزارهای لینوکس برای آنها ایجاد میکنند را درک کنند و اقدامات ایمنی لازم را برای محافظت از سیستمهای خود اتخاذ کنند. این اقدامات شامل استفاده از پسوردهای قوی، بروزرسانی نرم افزارها و احتیاط در هنگام دانلود و اجرای فایلهای خاص است.