EvilGnome: Spyware cực “hiếm” trên Linux, anti-malware cũng phải bó tay

Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra một phần mềm gián điệp (spyware) mới mang tên EvilGnome, thuộc nhóm ít ỏi các mã độc hiện vẫn chưa bị nhận dạng bởi bất kỳ sản phẩm phần mềm bảo mật chống vi-rút nào. Bộ cấy backdoor này còn bao gồm một số tính năng cực kỳ hiếm thấy trong hầu hết các malware nhắm mục tiêu vào hệ thống Linux.

Tình trạng Malware xuất hiện trên Linux

Có một thực tế được công nhận là so với các vi-rút Windows thì số lượng malware nhắm mục tiêu vào Linux ít hơn hẳn. Điều này xuất phát từ kết cấu cốt lõi của Linux, cũng như lượng thị phần ít hơn hẳn so với Windows.

Thậm chí, ngay cả khi các lỗ hổng nghiêm trọng bị tiết lộ trong các phần mềm và hệ điều hành Linux khác nhau, thì các hacker cũng chẳng thể nào khai thác tối đa lợi thế để thực hiện được các cuộc tấn công.  

Thay vào đó, các hacker sẽ tập trung phân tán các malware nhằm thực hiện các cuộc tấn công khai thác tiền điện tử trên máy tính Linux để kiếm lợi nhuận và tạo ra các botnet DDoS bằng cách chiếm quyền điều khiển các máy chủ tồn tại lỗ hổng.

Tuy nhiên, gần đây các nhà nghiên cứu tại công ty bảo mật Intezer Labs đã phát hiện ra một bộ cấy backdoor Linux mới, có vẻ như đang trong giai đoạn phát triển và thử nghiệm nhưng đã bao gồm một số mô-đun độc hại có thể theo dõi người dùng máy tính để bàn Linux.

EvilGnome: Phần mềm gián điệp Linux mới

Được đặt tên là EvilGnome, phần mềm độc hại này được thiết kế để chụp ảnh màn hình máy tính để bàn, đánh cắp các tập tin, ghi lại âm thanh từ micrô của người dùng cũng như tải xuống và thực hiện các mô-đun độc hại giai đoạn hai (second-stage malicious modules).

Theo một báo cáo mới, Intezer Labs cho biết trước khi chính thức phát hành, mẫu EvilGnome được phát hiện trên VirusTotal vẫn chứa chức năng keylogger chưa hoàn thành. Điều này chứng tỏ phần mềm đã bị nhà phát triển tải nhầm lên hệ thống.

Phần mềm độc hại EvilGnome giả mạo được thiết kế giống như phần mở rộng hợp pháp của GNOME – một chương trình cho phép người dùng Linux mở rộng chức năng của thiết bị máy tính để bàn.

Theo các nhà nghiên cứu, bộ cấy được phân phối dưới dạng một tập lệnh shell lưu trữ tự giải nén được tạo bằng ‘makeelf’ – một tập lệnh shell nhỏ tạo ra một kho lưu trữ tar tự giải nén từ một thư mục.

Ngoài ra, EvilGnome cũng sẽ thêm một tập lệnh shell gnome-shell-ext.sh vào crontab của máy tính Linux bị lây nhiễm, tập lệnh được thiết kế để kiểm tra xem các tác nhân phần mềm gián điệp có đang chạy hay không (kiểm tra theo từng phút).

Tập lệnh gnome-shell-ext.sh sẽ được thực thi trong giai đoạn cuối của quy trình lây nhiễm, tạo điều kiện cho việc khởi chạy các tác nhân phần mềm gián điệp gnome-shell-ext.

Các mô-đun phần mềm gián điệp của EvilGnome

Spy Agent của EvilGnome chứa năm mô-đun độc hại gọi là “Shooters”, như được giải thích dưới đây:

• ShooterSound – mô-đun này sử dụng PulseAudio để thu âm thanh từ micrô của người dùng và tải dữ liệu lên máy chủ command-and-control của nhà điều hành.
• ShooterImage – mô-đun này sử dụng thư viện nguồn mở Cairo để chụp ảnh màn hình và tải chúng lên máy chủ C&C. Thao tác này được thực hiện bằng cách mở một kết nối đến XOrg Display Server – một phần phụ trợ cho máy tính để bàn Gnome.
• ShooterFile – mô-đun này sử dụng danh sách bộ lọc để quét hệ thống tệp cho các tệp mới được tạo và tải chúng lên máy chủ C&C.
• ShooterPing – mô-đun nhận các lệnh mới từ máy chủ C&C chẳng hạn như tải xuống và thực thi các tệp mới, đặt các bộ lọc mới để quét tệp, tải xuống và đặt cấu hình runtime mới, lọc đầu ra (output) được lưu trữ cho máy chủ C&C và ngăn mọi mô-đun shooter khỏi việc khởi chạy.
• ShooterKey – mô-đun này không được thực hiện và không được sử dụng, rất có thể là mô-đun keylogging chưa hoàn thành.

Đáng chú ý, tất cả các mô-đun trên đều mã hóa dữ liệu đầu ra và giải mã các lệnh nhận được từ máy chủ C&C bằng khóa RC5 “sdg62_AS.sa $ die3”, sử dụng phiên bản sửa đổi của thư viện nguồn mở của Nga.

Nghi vấn: có kết nối giữa EvilGnome và nhóm hacker Gamaerdon

Các nhà nghiên cứu cũng tìm thấy mối liên hệ giữa EvilGnome và nhóm Gamaredon, một nhóm hacker có nguồn gốc từ Nga bắt đầu hoạt động kể từ 2013 và thường nhắm mục tiêu vào các cá nhân làm việc với chính phủ Ukraine.

Dưới đây đã tóm tắt một số điểm tương đồng giữa EvilGnome và nhóm Gamaredon:

• EvilGnome sử dụng nhà cung cấp dịch vụ lưu trữ đã được nhóm Gamaredon sử dụng trong nhiều năm.
• EvilGnome cũng được tìm thấy đang hoạt động trên một địa chỉ IP được kiểm soát bởi nhóm Gamaredon hai tháng trước.
• Những kẻ tấn công EvilGnome cũng đang sử dụng TTLD ‘.space’ cho các miền của họ, tương tự như nhóm Gamaredon.
• EvilGnome sử dụng các kỹ thuật và mô-đun, giống như việc sử dụng SFX, tính toàn vẹn với trình lập lịch tác vụ (task scheduler) và triển khai các công cụ đánh cắp thông tin mà gợi nhớ về các công cụ Windows được sử dụng bởi nhóm Gamaredon.

Làm thế nào để phát hiện phần mềm độc hại EvilGnome?

Để kiểm tra xem hệ thống Linux của bạn có bị nhiễm phần mềm gián điệp EvilGnome hay không, bạn có thể tìm tệp thực thi “gnome-shell-ext” trong thư mục “~ / .cache / gnome-software / gnome-shell-extend”.

Do các sản phẩm chống vi-rút và bảo mật hiện không phát hiện được phần mềm độc hại EvilGnome, các nhà nghiên cứu khuyến nghị các quản trị viên Linux có liên quan nên chặn các địa chỉ IP Command & Control sau đây:

EvilGnome:

a21acbe7ee77c721f1adc76e7a7799c936e74348d32b4c38f3bf6357ed7e8032

82b69954410c83315dfe769eed4b6cfc7d11f0f62e26ff546542e35dcd7106b7

7ffab36b2fa68d0708c82f01a70c8d10614ca742d838b69007f5104337a4b869

195.62.52[.]101

Gamaredon Group:

185.158.115[.]44

185.158.115[.]154

clsass.ddns[.]net

kotl[.]space

Tìm hiểu sâu hơn về EvilGnome tại bài viết gốc của Intezer.

Kết luận

Môi trường Linux luôn được đánh giá là ít rủi ro hơn Windows, nhưng không phải an toàn tuyệt đối. Và EvilGnome là một minh chứng rõ ràng nhất cho điều đó. Những nhà lập trình trên môi trường Linux vẫn cần có một tâm thế sẵn sàng, để có thể kịp thời ứng phó với các rủi ro bảo mật bất ngờ xảy đến.

Chỉ khi xây dựng một giải pháp an ninh mạng toàn diện, doanh nghiệp mới có thể tự tin đương đầu với những cuộc tấn công mạng đang “tiến hóa” từng ngày. Từ đó, giảm thiểu tối đa rủi ro bảo mật để thúc đẩy quá trình phát triển, bứt phá của mình.