كشف تحقيق بشأن اختراق بنية تحتية مستضافة على Amazon Web Services (AWS) عن اكتشاف rootkit جديد لنظام GNU/Linux أطلقت عليه شركة Synacktiv اسم LinkPro. يعتمد هذا الباب الخلفي على تركيب وحدتين من برمجيات eBPF (Extended Berkeley Packet Filter)؛ إحداهما لغرض الإخفاء، والأخرى لتمكين التنشيط عن بُعد عند استلام “حزمة سحرية” محددة.
سلسلة العدوى وآلية الانتشار
بدأت رحلة الاختراق، وفق ما وثقته الشركة الفرنسية، باستغلال خادم Jenkins مكشوف يعاني من ضعف (CVE-2024-23897)، ثم نشر المهاجمون صورة Docker خبيثة على عدة مجموعات Kubernetes. احتوت الصورة على بيئة أساسيات من توزيعة شبيهة بـKali ومجلد تشغيل يضم برامج تشغيل ومنزّلات تربط الحاسب المخترق بخوادم قيادةٍ وسيطرة، كما تم نشر حمولات خبيثة إضافية على عقد الـKubernetes، شملت Dropper لزرع نسخة أخرى من backdoor وبرنامج LinkPro المكتوب بلغة Go. (تم حجب أسماء ونِهايات الشبكات لخلو الترجمة من روابط مباشرة).
وظائف الاتصال وطرائق التشغيل
يعمل LinkPro في نمطين: نمط سلبي (reverse) يُفعّل استقبال الأوامر فقط بعد استلام حزمة سحرية، ونمط نشط (forward) يمكنه بدء اتصال مباشر بخادم القيادة والسيطرة. يدعم النمط النشط عدة بروتوكولات اتصال منها HTTP وWebSocket وUDP وTCP وDNS، بينما يقتصر النمط العكسي على HTTP. تسلسل العمليات يتضمن تركيب وحدة eBPF للإخفاء، واللجوء إلى تعديل ملف /etc/ld.so.preload لتثبيت مكتبة مشتركة خبيثة إذا فشل تركيب eBPF، ثم تركيب وحدة “Knock” التي تراقب قدوم الحزمة السحرية لتفعيل القناة المؤقتة للتواصل مع المشغل، وصولًا إلى إنشاء خدمة systemd لتحقيق الاستمرارية. (تفاصيل أسماء العناوين والمنافذ حسّاسة فتم اقتصارها في الترجمة).
أساليب الإخفاء والتنشيط التقنية
تستخدم وحدة “Hide” برامج eBPF من نوعي Tracepoint وKretprobe لإخفاء العمليات والنشاط الشبكي، كما يقوم الملف المشبوه libld.so المثبت عبر /etc/ld.so.preload بحقن نفسه في كل برامج المستخدم التي تستخدم المكتبات المشتركة، ما يسمح له بالتصدي لاستدعاءات libc وإخفاء آثار LinkPro من مستوى المستخدم. أما آلية “الحزمة السحرية” فهي عبارة عن حزمة TCP ذات حقل حجم نافذة محدد تُعد إشارة؛ عند التقاطها تحفظ وحدة Knock عنوان المصدر لفترة زمنية (نافذة صلاحية قصيرة)، ثم تسمح لمشغّل الهجوم بإرسال أوامر إلى المنفذ المستهدف خلال تلك النافذة. تضبط الوحدة أيضًا رؤوس الحزم الواردة والصادرة لتجاوز قيود الجدران النارية الأمامية وإرباك مطابقة سجلات الجدار الناري مع حركة المضيف المخترق.
قدرات القائد والتحكم والآثار التشغيلية
تتيح أوامر LinkPro تنفيذ قشرة تفاعلية (/bin/bash pseudo-tty)، تشغيل أوامر شل، استعراض الملفات والمجلدات، تنفيذ عمليات على الملفات، تنزيل ملفات، وإعداد نفق SOCKS5 لبث الترافيك عبر المضيف المخترق. يملك الجهة المهاجمة نافذة زمنية محدودة بعد إطلاق الحزمة السحرية للقيام بعملياتها، ما يزيد من تعقيد اكتشاف النشاط. كما تستغل تقنية eBPF على مستوى النواة استدعاءات مثل getdents وsys_bpf لإخفاء ملفاتها وبرامج BPF الخاصة بها — وهو أسلوب يتطلب تهيئة نواة معينة (CONFIG_BPF_KPROBE_OVERRIDE)؛ وفي حال غياب هذه الخاصية تتراجع البرمجيات إلى طريقة بديلة تعتمد على تحميل مكتبة عبر ld.so.preload لإتمام الإخفاء في مستوى المستخدم.
