كشف باحثو الأمن السيبراني عن باب خلفي جديد يستهدف أنظمة لينكس، أطلق عليه اسم PamDOORa، ويُباع على منتدى الجرائم الإلكترونية الروسي Rehub بسعر ابتدائي بلغ 1600 دولار من قبل شخصية تُدعى “darkworm”، قبل أن يتم تخفيضه لاحقًا إلى 900 دولار.
آلية عمل PamDOORa
تم تصميم PamDOORa كأداة ما بعد الاستغلال تعتمد على إطار Pluggable Authentication Module (PAM)، وهو إطار أمني في أنظمة Unix/Linux يسمح بدمج آليات مصادقة متعددة دون الحاجة إلى إعادة كتابة التطبيقات.
الباب الخلفي يمكّن المهاجمين من الحصول على وصول دائم عبر بروتوكول SSH باستخدام “كلمة مرور سحرية” مع منفذ TCP محدد، كما يقوم بجمع بيانات اعتماد جميع المستخدمين الشرعيين الذين يسجلون الدخول عبر النظام المخترق.
المخاطر المرتبطة بوحدات PAM
نظرًا لأن وحدات PAM تعمل عادةً بصلاحيات الجذر، فإن أي وحدة خبيثة أو معدلة بشكل غير صحيح يمكن أن تفتح الباب أمام سرقة بيانات الاعتماد والوصول غير المصرح به. وقد سبق أن حذرت شركات مثل Group-IB من أن وحدة pam_exec يمكن استغلالها لتنفيذ أوامر خارجية، مما يمنح المهاجمين وصولًا مميزًا أو سيطرة دائمة عبر حقن سكريبتات خبيثة في ملفات إعداد PAM.
قدرات إضافية في PamDOORa
إلى جانب سرقة بيانات الاعتماد، يتضمن PamDOORa قدرات مضادة للطب الشرعي، حيث يقوم بالتلاعب بسجلات المصادقة لإخفاء آثار النشاط الخبيث. كما يتميز بدمج تقنيات متعددة مثل:
- Hooks PAM لاعتراض عمليات المصادقة.
- التقاط بيانات الاعتماد بشكل مباشر من جلسات المستخدمين.
- التلاعب بالسجلات لإخفاء الأدلة.
- آليات مضادة للتصحيح ومشغلات مرتبطة بالشبكة.
سياق السوق السوداء
رغم عدم وجود أدلة على استخدام PamDOORa في هجمات فعلية حتى الآن، فإن طريقة توزيعه تشير إلى أن المهاجمين يحتاجون أولًا إلى الحصول على وصول بصلاحيات الجذر عبر وسائل أخرى، ثم نشر وحدة PAM الخبيثة لالتقاط بيانات الاعتماد وضمان الوصول المستمر.
خفض السعر من 1600 إلى 900 دولار يعكس إما ضعف الاهتمام من المشترين أو محاولة تسريع البيع، لكنه في كل الأحوال يوضح أن الباب الخلفي يُسوّق كأداة متقدمة أقرب إلى أدوات مشغلي الهجمات المحترفين، وليس مجرد سكريبتات بدائية متاحة في المستودعات العامة.
