ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញបំណែក spyware លីនុចដ៏កម្រមួយដែលបច្ចុប្បន្ននេះមិនត្រូវបានរកឃើញពេញលេញនៅក្នុងផលិតផលសូហ្វវែរកំចាត់មេរោគសំខាន់ៗទេ ហើយរាប់បញ្ចូលទាំងមុខងារដែលកម្របានឃើញទាក់ទងនឹងមេរោគលីនុចភាគច្រើន។ វាជាការពិតដែលគេដឹងថាមានមេរោគលីនុចតិចតួចណាស់ដែលមានបើប្រៀបធៀបទៅនឹងវីរុស Windows ដោយសារតែស្ថាបត្យកម្មស្នូលរបស់វានិងដោយសារតែចំណែកទីផ្សារទាបរបស់វា ហើយភាគច្រើននៃពួកវាមិនមានជួរធំទូលាយនៃមុខងារទេ។
ក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ សូម្បីតែបន្ទាប់ពីការបង្ហាញពីភាពងាយរងគ្រោះធ្ងន់ធ្ងរនៅក្នុងលក្ខណៈផ្សេងៗគ្នានៃប្រព័ន្ធប្រតិបត្តិការលីនុចនិងសូហ្វវែរក៏ដោយ ក៏អ្នកវាយលុកតាមអ៊ីនធឺរណិតមិនបានទទួលជោគជ័យក្នុងការវាយប្រហាររបស់ពួកគេឡើយ។ ផ្ទុយទៅវិញ មួយចំនួនធំនៃមេរោគដែលផ្តោតលើប្រព័ន្ធអេកូលីនុចផ្តោតជាចម្បងទៅលើការវាយប្រហាររុករក cryptocurrency ដើម្បីចំណេញហិរញ្ញវត្ថុនិងបង្កើតប្រព័ន្ធឌីជីថល DDoS botnets ដោយប្លន់ម៉ាស៊ីនមេដែលងាយរងគ្រោះ។ ទោះយ៉ាងណា អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុនសន្តិសុខ Intezer Labs បានរកឃើញការផ្សាំភ្ជាប់លីនុច backdoor ថ្មីដែលមើលទៅដូចជាស្ថិតនៅក្នុងដំណាក់កាលអភិវឌ្ឍន៍និងការសាកល្បងប៉ុន្តែមានរួមបញ្ចូលនូវម៉ូឌុលដែលមានគំនិតអាក្រក់មួយចំនួនដើម្បីឈ្លបយកការណ៍លើអ្នកប្រើប្រាស់កុំព្យូទ័រលើតុលីនុច។
EvilGnome: ចារកម្មថ្មីរបស់លីនុច
ដោយមានឈ្មោះថា EvilGnome មេរោគនេះត្រូវបានគេរចនាឡើងដើម្បីថតរូបអេក្រង់លើកុំព្យូទ័រលើតុលួចឯកសារ ចាប់យកសម្លេងពីមីក្រូហ្វូនរបស់អ្នកប្រើប្រាស់ ក៏ដូចជាទាញយកនិងប្រើប្រាស់ម៉ូឌុលព្យាបាទនៅដំណាក់កាលទីពីរ។ យោងតាមរបាយការណ៍ថ្មីមួយដែលមានឈ្មោះថា Intezer Labs ដែលបានចែករំលែកជាមួយ The Hacker News មុនពេលចេញផ្សាយ គំរូនៃ EvilGnome ដែលរកឃើញនៅលើ VirusTotal ក៏មានមុខងារ Keylogger ដែលមិនទាន់បានបញ្ចប់ដែលបង្ហាញថាវាត្រូវបានផ្ទុកឡើងតាមអ៊ីនធឺរណិតដោយច្រឡំដោយអ្នកអភិវឌ្ឍន៍។
មេរោគ EvilGnome ក្លែងខ្លួនវាថាជាផ្នែកបន្ថែម GNOME ស្របច្បាប់ដែលជាកម្មវិធីមួយដែលអនុញ្ញាតឱ្យអ្នកប្រើលីនុចពង្រីកមុខងារកុំព្យូទ័រលើតុរបស់ពួកគេ។ យោងទៅតាមអ្នកស្រាវជ្រាវបានអោយដឹងថា ការផ្សាំត្រូវបានបញ្ជូនទៅជាទម្រង់នៃការបញ្ចេញប័ណ្ណដោយខ្លួនវាផ្ទាល់ដែលបានបង្កើតជាមួយ “ខ្លួនឯង” ដែលជាស្គ្រីបសែលតូចមួយដែលបង្កើតនូវបណ្ណសារ tar ដែលអាចបង្រួមដោយខ្លួនឯងបានពីថតឯកសារ។
ការដាក់បញ្ចូលលីនុចក៏ទទួលបានការតស៊ូនៅលើប្រព័ន្ធគោលដៅមួយដោយប្រើ crontab ដែលស្រដៀងនឹងកម្មវិធីកំណត់ពេលភារកិច្ចរបស់ windows ហើយបញ្ជូនទិន្នន័យអ្នកប្រើដែលបានលួចទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារពីចម្ងាយ។ អ្នកស្រាវជ្រាវបាននិយាយថា“ ការតស៊ូត្រូវបានសម្រេចដោយការចុះឈ្មោះ gnome-shell-ext.sh ដើម្បីដំណើរការរៀងរាល់នាទី។ នៅទីបំផុត ស្គ្រីបប្រតិបត្តិ gnome-shell-ext.sh ដែលជាលទ្ធផលបើកដំណើរការ gnome -shell-ext -sh” ។
ម៉ូឌែលចារកម្មរបស់ EvilGnome
ភ្នាក់ងារចារកម្មរបស់ EvilGnome មានម៉ូឌុលព្យាបាទចំនួន៥ ដែលមានឈ្មោះថា “Shooters” ដូចបានពន្យល់ខាងក្រោម៖
ShooterSound – ម៉ូឌុលនេះប្រើ PulseAudio ដើម្បីចាប់យកសម្លេងពីមីក្រូហ្វូនរបស់អ្នកប្រើប្រាស់និងបញ្ចូលទិន្នន័យទៅម៉ាស៊ីនមេ command-and-control របស់ប្រតិបត្តិករ។
ShooterImage – ម៉ូឌុលនេះប្រើបណ្ណាល័យប្រភពបើកចំហររបស់ Cairo ដើម្បីចាប់យករូបថតអេក្រង់និងផ្ទុកឯកសារទាំងនោះទៅម៉ាស៊ីនមេ C&C។ វាធ្វើដូច្នេះដោយបើកការភ្ជាប់ទៅ XOrg Display Server ដែលជាកម្មវិធីខាងក្រោយទៅផ្ទៃតុ Gnome ។
ShooterFile – ម៉ូឌុលនេះប្រើបញ្ជីតំរុយដើម្បីស្កេនប្រព័ន្ធឯកសារសំរាប់ឯកសារដែលទើបបង្កើតថ្មីហើយផ្ទុកវាចូលក្នុងម៉ាស៊ីនមេ C&C។
ShooterPing – ម៉ូឌុលទទួលបានពាក្យបញ្ជាថ្មីពីម៉ាស៊ីនមេ C&C ដូចជាទាញយកនិងប្រតិបត្តិឯកសារថ្មី កំណត់តម្រងថ្មីសម្រាប់ការស្កេនឯកសារ ទាញយកនិងកំណត់ការកំណត់រចនាសម្ព័ន្ធ កំណត់លទ្ធផលដែលផ្ទុកទៅម៉ាស៊ីនមេ C&C ហើយបញ្ឈប់ម៉ូឌុល shooter មិនឱ្យដំណើរការ។
ShooterKey – ម៉ូឌុលនេះមិនត្រូវបានអនុវត្តនិងមិនត្រូវបានប្រើដែលភាគច្រើនទំនងជាម៉ូឌុល keylogging មិនទាន់បានបញ្ចប់។
គួរកត់សម្គាល់ថា ម៉ូឌុលទាំងអស់ខាងលើអ៊ិនគ្រីបលទ្ធផលទិន្នន័យរបស់ពួកគេនិងឌិគ្រីបពាក្យបញ្ជាដែលទទួលបានពីម៉ាស៊ីនមេ C&C ជាមួយកូនសោ RC៥ “sdg៦២_AS.sa$die៣” ដោយប្រើកំណែដែលបានកែប្រែនៃបណ្ណាល័យប្រភពបើកចំហររបស់រុស្ស៊ី។
ការតភ្ជាប់ដែលអាចមានរវាងក្រុមវាយប្រហារ EvilGnome និង Gamaredon
លើសពីនេះ ក្រុមអ្នកស្រាវជ្រាវក៏បានរកឃើញទំនាក់ទំនងរវាងក្រុម EvilGnome និង Gamaredon ដែលជាក្រុមគំរាមកំហែងរបស់រុស្ស៊ីដែលបានធ្វើសកម្មភាពតាំងពីយ៉ាងហោចណាស់ឆ្នាំ២០១៣ និងបានកំណត់គោលដៅបុគ្គលដែលធ្វើការជាមួយរដ្ឋាភិបាលអ៊ុយក្រែន។
ខាងក្រោមនេះ យើងបានសង្ខេបពីភាពស្រដៀងគ្នាមួយចំនួនរវាង EvilGnome និង Gamaredon។
EvilGnome ប្រើអ្នកផ្តល់សេវាបង្ហោះដែលត្រូវបានប្រើដោយក្រុម Gamaredon អស់រយៈពេលជាច្រើនឆ្នាំហើយនៅតែបន្តប្រើប្រាស់ដោយវា។
EvilGnome ក៏បានរកឃើញថាកំពុងប្រតិបត្តិការនៅលើអាស័យដ្ឋាន IP ដែលត្រូវបានគ្រប់គ្រងដោយក្រុម Gamaredon កាលពីពីរខែមុន។
អ្នកវាយប្រហារ EvilGnome ក៏កំពុងប្រើ '.space' TTLD សម្រាប់ដែនរបស់ពួកគេដូចគ្នានឹងក្រុម Gamaredon។
EvilGnome ប្រើបច្ចេកទេសនិងម៉ូឌុលដូចជាការប្រើប្រាស់ SFX ការតស៊ូជាមួយកម្មវិធីកំណត់ពេលវេលានិងការដាក់ពង្រាយឧបករណ៍លួចព័ត៌មានដែលរំលឹកដល់ឧបករណ៍វ Windows របស់ ក្រុម Gamaredon ។
តើធ្វើដូចម្តេចដើម្បីរកមើលមេរោគ EvilGnome?
ដើម្បីពិនិត្យមើលថាតើប្រព័ន្ធលីនុចរបស់អ្នកត្រូវបានឆ្លងមេរោគជាមួយ spyware EvilGnome អ្នកអាចរកមើល “gnome-shell-ext” ដែលអាចប្រតិបត្តិបាននៅក្នុង “~/.cache/gnome-software/gnome-shell-extensions” ។ អ្នកស្រាវជ្រាវសន្និដ្ឋានថា “យើងជឿជាក់ថានេះជាកំណែសាកល្បងមិនគ្រប់គ្រាន់។ យើងរំពឹងថានឹងមានជំនាន់ថ្មីត្រូវបានរកឃើញនិងពិនិត្យឡើងវិញនាពេលអនាគតដែលអាចផ្តល់ពន្លឺកាន់តែច្រើនដល់ប្រតិបត្តិការរបស់ក្រុម” ។ ចាប់តាំងពីផលិតផលសុវត្ថិភាពនិងការកំចាត់មេរោគកំពុងតែបរាជ័យក្នុងការរកឃើញនូវមេរោគ EvilGnome អ្នកស្រាវជ្រាវបានផ្តល់អនុសាសន៍ដល់អ្នកគ្រប់គ្រងលីនុចដែលពាក់ព័ន្ធដើម្បីបិទអាស័យដ្ឋាន Command & Control IP ដែលបានចុះបញ្ជីនៅក្នុងផ្នែក IOC នៃទំព័ររបស់ Intezer ។
