كشف باحثو الأمن السيبراني عن برمجية خلفية جديدة تستهدف أنظمة التشغيل Linux، تحمل اسم “Plague” أو “الطاعون”، تمكنت من التغلغل في الأنظمة دون أن تُكتشف لأكثر من عام.
وأشار الباحث بيير-هنري بيزييه من شركة Nextron Systems إلى أن البرمجية مصممة كـ “وحدة مصادقة قابلة للإضافة” (PAM)، مما يسمح للمهاجمين بتجاوز إجراءات التحقق من الهوية والوصول إلى الأنظمة عبر SSH دون إثارة أي إنذار أمني.
استغلال خطير لوحدات PAM في أنظمة Linuxويونكس
تُستخدم وحدات PAM في أنظمة Linux ويونكس لإدارة عمليات التحقق من هوية المستخدمين، وهي تعمل ضمن عمليات حساسة وذات صلاحيات عالية. ومن ثم، فإن تضمين وحدة PAM خبيثة يمكّن المهاجم من سرقة بيانات اعتماد المستخدم، وتجاوز التحقق الأمني، والبقاء مخفيًا عن أدوات الحماية التقليدية.
غياب تام عن رادارات الحماية منذ منتصف 2024
أكدت الشركة الأمنية أنها رصدت عدة عينات من “Plague” تم رفعها على منصة VirusTotal منذ 29 يوليو 2024، دون أن تكتشفها أي من محركات مكافحة البرمجيات الخبيثة على أنها ضارة. وتشير تعدد العينات إلى أن الجهة المسؤولة عن تطوير البرمجية ما زالت تنشط وتُحدّثها بانتظام.
خصائص متقدمة للتمويه والتخفي
تتميز “Plague” بعدة وظائف متطورة، من أبرزها:
-
استخدام بيانات اعتماد ثابتة تتيح للمهاجم الدخول خلسة
-
تقنيات مضادة لتحليل الكود الهندسي، مثل إخفاء النصوص
- إخفاء جلسات SSH عن طريق إزالة المتغيرات البيئية مثل SSH_CONNECTION وSSH_CLIENT باستخدام unsetenvإعادة توجيه ملف السجل HISTFILE إلى /dev/null لمنع تسجيل أوامر الطرفية
قدرات عالية على البقاء والتخفي
قال بيزييه إن “Plague” تتكامل بعمق مع مكونات المصادقة، وتستطيع النجاة بعد تحديثات النظام، ولا تترك تقريبًا أي أثر جنائي. وأوضح أن ما يزيد من خطورتها هو تمويهها متعدد الطبقات، وعبثها ببيئة النظام، مما يجعل اكتشافها بالأدوات التقليدية شبه مستحيل.
