Sikkerhetsforskere i Intezer og BlackBerry Threat Research & Intelligence Team har oppdaget en skadevare med det som omtales som temmelig uvanlige egenskaper. Skadevaren, som de kaller for Symbiote, opptrer i en slags symbiose med Linux-baserte operativsystemer og er i stand til å skjule seg svært godt, blant annet med rootkit-funksjonalitet.
Infiserer alle prosesser
Det er spesielt to egenskaper som gjør Symbiote uvanlig. Den ene er at den ikke opptrer som en separat prosess eller kjørbar fil. I stedet opptrer skadevaren i et SO-bibliotek (Shared Object) som dynamisk lastes inn av prosessene via LD_PRELOAD-direktivet. Dette gjør at skadevaren lastes inn før alle andre delte objekter og kan dermed kontrollere hva annet som skal importeres.
På denne måten får skadevaren også tilgang til de samme ressursene i systemet som de infiserte prosessene også ellers ville ha hatt, inkludert minneområder og nettverkstilgang.
Dramatisk økning: Femdobling i Linux-skadevare
Gjør seg usynlig
Den andre spesielle – men ikke helt unike – egenskapen er at Symbiote skjuler seg ved hjelp av «hooking» av funksjoner i bibliotekene libc og libpcap, noe den kan bruke til å sørge for at spor etter skadevaren utelates fra lister over blant annet filnavn, nettverksporter, domenenavn og prosesser.
Blant annet benyttes injisering av bytekode i Linux-kjernen for å bruke Berkeley Packet Filter-grensesnittet til å sørge for at nettverkstrafikk som ikke er ønskelig at skal blitt fanget opp av pakkeinspeksjonsverktøy, blir filtrert ut. Dette er funksjonalitet som tidligere har blitt kreditert NSA-tilknyttede Equation Group.
De første deteksjonene av Symbiote ble gjort i november 2021 og var rettet mot finanssektoren i Latin-Amerika. Skadevaren opprettet en bakdør som gjorde det mulig for angriperne å logge seg inn som enhver bruker med et hardkodet passord. Der kunne de utføre kommandoer med alle privilegier.
Sikkerhetsforskerne har så langt ikke sett tilstrekkelig bevis til å avgjøre om skadevaren benyttes i brede angrep eller i spesielt rettede angrep. Sikkerhetsforskerne har ikke oppgitt hvordan angriperne har greid å infisere de angrepne systemene.
IT-ekspert: Skremmende hva et teknisk bilde kan røpe av sårbarheter