Yakın zamanda keşfedilen bir Linux kötü amaçlı yazılım biçimi, virüslü makinelerde ve sunucularda bir arka kapı oluşturarak siber suçluların ağdaki varlıklarını korurken hassas bilgileri gizlice çalmasına olanak tanır.
Intezer siber güvenlik araştırmacıları tarafından detaylandırıldışimdiye kadar tespit edilmeyen kötü amaçlı yazılım, yürütülen komutların sonuçlarını geçici olarak depolamak için kullandığı dosya adlarından sonra Orbit olarak adlandırıldı.
Linux, sunucular ve bulut altyapısı için popüler bir işletim sistemidir ve bu da onu siber suçlular için cazip bir hedef haline getirir. Orbit kötü amaçlı yazılımı, siber suçlulara Linux sistemlerine uzaktan erişim sağlayarak, kullanıcı adlarını ve parolaları çalmalarına ve Linux terminalinde yapılan girişler olan TTY komutlarını kaydetmelerine olanak tanır.
SSH bağlantılarından bilgi çalmak
Ek olarak, kötü amaçlı yazılım makinede çalışan işlemlere bulaşabilir ve bu da sonuçta bilgisayar korsanlarının bilgileri izlemek ve çalmak için gereken sistemin kontrolünü ele geçirmesine ve güvenliği ihlal edilmiş sistemlere bir arka kapı sağlar.
Yüklendikten sonra Orbit, makine ile uzak bir bağlantı kurar ve Linux Takılabilir Kimlik Doğrulama Modülünün işlevlerini bağlar. Bunu yaparak, kötü amaçlı yazılım, Güvenli Kabuk Protokolü (SSH) bağlantılarından bilgi çalabilir ve ağ etkinliğini kurbandan gizlerken saldırganlara uzaktan erişim sağlar.
Orbit ayrıca çok kalıcı olacak şekilde tasarlanmıştır, bu da çalışan virüslü bir makineden çıkarılmasını zorlaştırır. Bunu, kötü amaçlı yazılımın diğer işlemlerden önce yüklenmesi gerektiğine dair talimatlar ekleyerek yapar.
Kötü amaçlı yazılım ayrıca, kötü amaçlı etkinliğin ayrıntılarını vermekten kaçınmak için çıktıları manipüle ederek Orbit’in varlığını ortaya çıkarabilecek bilgilerin algılanmasını önleyerek algılamadan kaçacak şekilde yapılandırılmıştır.
Intezer’de güvenlik araştırmacısı Nicole Fishbein, “Diğer tehditlerin aksine, bu kötü amaçlı yazılım farklı komutlardan ve yardımcı programlardan bilgi çalar ve bunları makinedeki belirli dosyalarda saklar” dedi. “Linux’u hedefleyen tehditler, güvenlik araçlarının radarı altında kalmayı başarırken gelişmeye devam ediyor, şimdi Orbit, yeni kötü amaçlı yazılımların nasıl kaçamak ve kalıcı olabileceğinin sadece bir örneği” dedi.
Bulut hizmetleri ve sunucuları yanlışlıkla yanlış yapılandırılmış, yetkisiz davetsiz misafirlerin sistemlere erişmesine izin veriyor. Kuruluşlar, saldırganların ağlara erişmesine izin verebilecek bu gibi zayıf noktalardan kaçınmak için bulut kurulumlarının uygun şekilde yönetilmesini sağlamalıdır.
Kaynak : “ZDNet.com”
