EvilGnome: Gián điệp cấy backdoor mới tấn công người dùng máy tính để bàn Linux

Spyware trên Linux

Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra một phần mềm gián điệp Linux mới mang tên EvilGnome, thuộc nhóm ít ỏi các mã độc hiện vẫn chưa bị nhận dạng bởi bất kỳ sản phẩm phần mềm bảo mật chống vi-rút nào. Bộ cấy backdoor này còn bao gồm một số tính năng cực kỳ hiếm thấy trong hầu hết các malware nhắm mục tiêu vào hệ thống Linux.

Có một thực tế được công nhận là so với các vi-rút Windows thì số lượng malware nhắm mục tiêu vào Linux ít hơn hẳn. Điều này xuất phát từ kết cấu cốt lõi của Linux, cũng như lượng thị phần ít hơn hẳn so với Windows.

Thậm chí, ngay cả khi các lỗ hổng nghiêm trọng bị tiết lộ trong các phần mềm và hệ điều hành Linux khác nhau, thì các hacker cũng chẳng thể nào khai thác tối đa lợi thế để thực hiện được các cuộc tấn công.  

Thay vào đó, các hacker sẽ tập trung phân tán các malware nhằm thực hiện các cuộc tấn công khai thác tiền điện tử trên máy tính Linux để kiếm lợi nhuận và tạo ra các botnet DDoS bằng cách chiếm quyền điều khiển các máy chủ tồn tại lỗ hổng.

Tuy nhiên, gần đây các nhà nghiên cứu tại công ty bảo mật Intezer Labs đã phát hiện ra một bộ cấy backdoor Linux mới, có vẻ như đang trong giai đoạn phát triển và thử nghiệm nhưng đã bao gồm một số mô-đun độc hại có thể theo dõi người dùng máy tính để bàn Linux.

EvilGnome: Phần mềm gián điệp Linux mới

Được đặt tên là EvilGnome, phần mềm độc hại này được thiết kế để chụp ảnh màn hình máy tính để bàn, đánh cắp các tập tin, ghi lại âm thanh từ micrô của người dùng cũng như tải xuống và thực hiện các mô-đun độc hại giai đoạn hai (second-stage malicious modules).

Theo một báo cáo mới, Intezer Labs cho biết trước khi chính thức phát hành, mẫu EvilGnome được phát hiện trên VirusTotal vẫn chứa chức năng keylogger chưa hoàn thành. Điều này chứng tỏ phần mềm đã bị nhà phát triển tải nhầm lên hệ thống.

Phần mềm EvilGnome (1)
Phần mềm EvilGnome (2)

Phần mềm độc hại EvilGnome giả mạo được thiết kế giống như phần mở rộng hợp pháp của GNOME – một chương trình cho phép người dùng Linux mở rộng chức năng của thiết bị máy tính để bàn.

Theo các nhà nghiên cứu, bộ cấy được phân phối dưới dạng một tập lệnh shell lưu trữ tự giải nén được tạo bằng ‘makeelf’ – một tập lệnh shell nhỏ tạo ra một kho lưu trữ tar tự giải nén từ một thư mục.

Ngoài ra, EvilGnome cũng sẽ thêm một tập lệnh shell gnome-shell-ext.sh vào crontab của máy tính Linux bị lây nhiễm, tập lệnh được thiết kế để kiểm tra xem các tác nhân phần mềm gián điệp có đang chạy hay không (kiểm tra theo từng phút).

Tập lệnh gnome-shell-ext.sh sẽ được thực thi trong giai đoạn cuối của quy trình lây nhiễm, tạo điều kiện cho việc khởi chạy các tác nhân phần mềm gián điệp gnome-shell-ext.

Các mô-đun phần mềm gián điệp của EvilGnome

Spy Agent của EvilGnome chứa năm mô-đun độc hại gọi là “Shooters”, như được giải thích dưới đây:

  • ShooterSound – mô-đun này sử dụng PulseAudio để thu âm thanh từ micrô của người dùng và tải dữ liệu lên máy chủ command-and-control của nhà điều hành.
  • ShooterImage – mô-đun này sử dụng thư viện nguồn mở Cairo để chụp ảnh màn hình và tải chúng lên máy chủ C&C. Thao tác này được thực hiện bằng cách mở một kết nối đến XOrg Display Server – một phần phụ trợ cho máy tính để bàn Gnome.
  • ShooterFile – mô-đun này sử dụng danh sách bộ lọc để quét hệ thống tệp cho các tệp mới được tạo và tải chúng lên máy chủ C&C.
  • ShooterPing – mô-đun nhận các lệnh mới từ máy chủ C&C chẳng hạn như tải xuống và thực thi các tệp mới, đặt các bộ lọc mới để quét tệp, tải xuống và đặt cấu hình runtime mới, lọc đầu ra (output) được lưu trữ cho máy chủ C&C và ngăn mọi mô-đun shooter khỏi việc khởi chạy.
  • ShooterKey – mô-đun này không được thực hiện và không được sử dụng, rất có thể là mô-đun keylogging chưa hoàn thành.

Đáng chú ý, tất cả các mô-đun trên đều mã hóa dữ liệu đầu ra và giải mã các lệnh nhận được từ máy chủ C&C bằng khóa RC5 “sdg62_AS.sa $ die3”, sử dụng phiên bản sửa đổi của thư viện nguồn mở của Nga.

Có khả năng có kết nối giữa EvilGnome và nhóm hacker Gamaerdon

Các nhà nghiên cứu cũng tìm thấy mối liên hệ giữa EvilGnome và nhóm Gamaredon, một nhóm hacker có nguồn gốc từ Nga bắt đầu hoạt động kể từ 2013 và thường nhắm mục tiêu vào các cá nhân làm việc với chính phủ Ukraine.

Dưới đây đã tóm tắt một số điểm tương đồng giữa EvilGnome và nhóm Gamaredon:

  • EvilGnome sử dụng nhà cung cấp dịch vụ lưu trữ đã được nhóm Gamaredon sử dụng trong nhiều năm.
  • EvilGnome cũng được tìm thấy đang hoạt động trên một địa chỉ IP được kiểm soát bởi nhóm Gamaredon hai tháng trước.
  • Những kẻ tấn công EvilGnome cũng đang sử dụng TTLD ‘.space’ cho các miền của họ, tương tự như nhóm Gamaredon.
  • EvilGnome sử dụng các kỹ thuật và mô-đun, giống như việc sử dụng SFX, tính toàn vẹn với trình lập lịch tác vụ (task scheduler) và triển khai các công cụ đánh cắp thông tin mà gợi nhớ về các công cụ Windows được sử dụng bởi nhóm Gamaredon.

Làm thế nào để phát hiện phần mềm độc hại EvilGnome?

Để kiểm tra xem hệ thống Linux của bạn có bị nhiễm phần mềm gián điệp EvilGnome hay không, bạn có thể tìm tệp thực thi “gnome-shell-ext” trong thư mục “~ / .cache / gnome-software / gnome-shell-extend”.

Do các sản phẩm chống vi-rút và bảo mật hiện không phát hiện được phần mềm độc hại EvilGnome, các nhà nghiên cứu khuyến nghị các quản trị viên Linux có liên quan nên chặn các địa chỉ IP Command & Control được liệt kê trong phần IOC của bài đăng trên blog của Intezer.

THN